1 Dicembre 2022

Ritorno al futuro: l’efficacia dei modelli di compliance nel caso Impregilo

di Adán Nieto Martín, Professore di diritto penale

presso l’Università di Castilla-la Mancha

1. La sentenza della Cassazione del dicembre 2013 e quella del novembre 2021

La Corte di Cassazione nel dicembre 2013 ha annullato con rinvio la sentenza della Corte di Appello di Milano del 21 marzo 2012 che, conformemente alla sentenza di primo grado, assolveva la Impregilo S.p.a per l’illecito amministrativo dipendente dal reato di manipolazione del mercato commesso dal Presidente del Consiglio di amministrazione e dall’Amministratore Delegato della società. Come noto, si trattava delle prime sentenze di assoluzione di un ente per aver adottato un modello organizzativo efficace.

Successivamente al rinvio, la Corte di Appello di Milano, sulla base delle indicazioni della Cassazione, ha emesso una nuova sentenza con la quale ha ribadito l’assenza di responsabilità per Impregilo. Tale pronuncia, impugnata dalla Procura della Repubblica, ha infine portato alla sentenza della Corte di Cassazione in commento (Cass. pen., ud. 11 novembre 2021, dep. 15 giugno 2022, n. 23401), che assolve definitivamente la società.

La decisione chiude un lungo percorso (12 anni dalla prima decisione!), ed è interessante perché, per quanto si possa essere in disaccordo con il suo contenuto, risulta essere la più completa nell’illustrare come deve essere esaminata l’efficacia di un modello di compliance.

I fatti del caso e l’oggetto della discussione sono di particolare importanza perché gli autori del reato coincidono con le due persone più importanti all’interno di un’organizzazione, cioè il Presidente del Consiglio di amministrazione e l’Amministratore Delegato. Si tratta quindi di discutere l’assenza di responsabilità da reato dell’ente “nel caso più difficile”, quello in cui gli autori dei reati presupposto sono al più alto livello gerarchico, e ci si chiede come stabilire misure di controllo per i “super-apicali”: detto in altre parole, si tratta dell’ipotesi in cui intuitivamente si tende a pensare che “non c’è un modello di compliance che funzioni” per evitare la responsabilità penale della persona giuridica.

Come noto, secondo l’art. 6 del d.lgs. 231 l’esenzione della responsabilità della persona giuridica in queste ipotesi è subordinata all’accertamento di tre requisiti: (1) l’adozione e efficace attuazione, prima della commissione del reato, di un modello organizzativo volto a prevenire reati della stessa natura di quello verificatosi; (2) l’esistenza di un Organismo di Vigilanza dotato di poteri di controllo che abbia svolto efficacemente le proprie funzioni; e (3) l’elusione fraudolenta da parte degli autori del reato del modello di organizzazione e gestione.

Nel suo ricorso, la Procura nega proprio la sussistenza di questi tre elementi, il che significa che la Corte di Cassazione deve pronunciarsi sull’intera previsione legislativa. Poiché, inoltre, il requisito (1) è comune ai casi di commissione del reato da parte di apicali e subordinati, la sentenza costituisce una pronuncia di fondamentale importanza.

2. Il modello di organizzazione e gestione per la prevenzione del reato

La Corte affronta il requisito della idoneità/adeguatezza del modello organizzativo – requisito (1) – partendo dal presupposto che la responsabilità della persona giuridica, dal punto di vista strutturale, rappresenta un’ipotesi di reato colposo. La funzione dei compliance programs o modelli organizzativi è quella di ridurre il rischio di commissione del reato ad un rischio consentito, da cui discende che il verificarsi dell’illecito non può mai essere considerato di per sé segno di inadeguatezza del modello.

Pur senza dirlo espressamente, la Corte, coerentemente con la natura colposa della responsabilità, utilizza un tipo di ragionamento basato sulla teoria dell’imputazione obiettiva per stabilire quello che la stessa definisce come il nesso causale tra il difetto organizzativo e il risultato (la commissione del reato): si deve dimostrare che il reato è la conseguenza della violazione di una regola di diligenza derivata dall’art. 6 del d. lgs. 231, e che il risultato tipico corrisponde proprio al pericolo che la specifica regola intendeva evitare. A tal fine, la sentenza utilizza la formula del «comportamento alternativo lecito», che costituisce uno degli assi portanti della decisione. Seguendo tale criterio, la Corte richiede al Giudice di stabilire: (1) se esiste un “modello virtuoso”, un controllo alternativo, che l’ente avrebbe dovuto attuare al posto di quello che aveva, e (2) se questa regola di diligenza sarebbe servita a evitare l’evento o a ridurre il pericolo derivante dall’attività illecita.

Nella prima parte della sua argomentazione, la Cassazione si occupa esclusivamente di stabilire se il sistema di controllo adottato da Impregilo fosse in grado di soddisfare il dovere di diligenza. Per farlo, dice la sentenza, il Giudice deve collocarsi nel momento in cui il reato è stato commesso e verificarne la prevedibilità e l’evitabilità, ma soprattutto, e questa affermazione è di grande importanza, la valutazione dell’efficacia del modello deve essere limitata, dice la Corte, a quelle misure che sono specificamente rilevanti per prevenire reati della specie di quello che si è verificato.

«Il modello organizzativo, cioè, non viene testato dal giudice nella sua globalità, bensì in relazione alle regole cautelari che risultano violate e che comportarono il rischio di reiterazione di reati della stessa specie» (§ 7.2).

La sentenza prosegue poi indicando nel dettaglio il modo in cui il Giudice deve valutare l’idoneità del modello organizzativo. Ciò conduce a un’interessante riflessione sul ruolo che gli standard e le best practices giocano nella determinazione del dovere di diligenza, inducendo così a domandarsi se (e fino a che punto) siamo di fronte a un dovere di diligenza oggettivo (come sostenuto dall’assoluta maggioranza della dottrina), o, al contrario, di carattere marcatamente soggettivo.

A questo proposito, deve ricordarsi il disposto di cui all’art. 6 d. lgs 231/2001, il quale stabilisce che le associazioni di categoria possono adottare modelli di compliance settoriali (c.d. codici di comportamento), da comunicare al Ministero della Giustizia, il quale, di concerto con il Ministero competente, ha trenta giorni di tempo per formulare le opportune osservazioni sulla loro idoneità. Nella decisione dei Giudici di Milano, il fatto che Impregilo disponesse di misure di controllo simili a quelle previste dall’allora vigente codice di categoria ha avuto un ruolo decisivo nell’assoluzione.

La Corte di Cassazione sottolinea che la funzione dei codici di comportamento di categoria è quella di garantire una certa omogeneità dei modelli organizzativi su tutto il territorio nazionale, pur affermando che l’esistenza di un modello di riferimento non esime la singola impresa dall’adozione di un programma che sia

«quanto più singolare possibile, perché, solamente se calibrato sulle specifiche caratteristiche dell’ente (dimensioni, tipo di attività, evoluzione diacronica), esso può ritenersi effettivamente idoneo allo scopo preventivo affidatogli dalla legge» (§ 7.3).

Tuttavia, la Corte prosegue con un argomento criticabile, sottolineando che questo tipo di accertamento influenza necessariamente il margine di valutazione giudiziaria:

«in presenza di un modello organizzativo conforme a quei codici di comportamento, il giudice sarà tenuto specificatamente a motivare le ragioni per le quali possa ciò nonostante ravvisarsi la “colpa di organizzazione” dell’ente, individuando la specifica disciplina di settore, anche di rango secondario, che ritenga violata o, in mancanza, le prescrizioni della migliore scienza ed esperienza dello specifico àmbito produttivo interessato» (§ 7.3).

Sulla base di queste considerazioni, la Cassazione ritiene che il modello di organizzazione di cui disponeva Impregilo all’epoca dei fatti per prevenire la manipolazione del mercato attraverso l’emissione di false informazioni fosse adeguato. Questo prevedeva una procedura secondo la quale era sempre necessaria la partecipazione di due o più persone e richiedeva un specifico iter di autorizzazione preventiva nei casi in cui i comunicati stampa o la diffusione di analisi o studi potessero contenere informazioni price sensitive. Inoltre in tali casi le uniche persone competenti a emettere la comunicazione, a seguito di quest’analisi preventiva, erano proprio il Presidente del Consiglio di amministrazione e l’Amministratore Delegato.

3. L’Organismo di Vigilanza (O.d.V.)

Dopo aver esaminato il primo requisito, la Corte procede a verificare se Impregilo avesse un Organismo dotato di autonomi poteri di vigilanza e controllo, che avesse effettivamente sovrinteso all’efficacia delle misure previste dal modello organizzativo di cui l’ente si era dotato con riguardo ai vertici aziendali (art. 6, co. 1, lett. b e lett. d del d.lgs. 231).

L’argomentazione della Corte continua a fondarsi, anche in relazione a questo requisito, sulla struttura del reato colposo. Pertanto, seguendo un ragionamento simile a quello che abbiamo appena visto, prima analizza se l’O.d.V. di Impregilo avesse adempiuto al proprio dovere di diligenza, e poi, sulla base del comportamento alternativo lecito, cioè un comportamento più virtuoso e conforme al dovere di diligenza, si domanda se questo avrebbe fatto venire meno il reato o il rischio del suo verificarsi.

All’epoca dei fatti, l’Organismo di Vigilanza di Impregilo era a composizione unipersonale e la funzione era esercitata dal responsabile dell’internal audit, che riportava direttamente al Presidente del Consiglio di amministrazione. Secondo i Giudici di merito, da questo assetto derivava chiaramente che l’O.d.V. non soddisfaceva le condizioni di cui all’art. 6, co. 1, lett. a, del decreto 231:

«il Collegio ritiene che la lacuna od il punto di debolezza di un modello possano condurre a ravvisare una responsabilità dell’ente soltanto se abbiano avuto un’efficienza causale nella commissione del reato presupposto da parte del soggetto apicale, nel senso che la condotta di questi sia stata resa possibile, anche in via concorrente, proprio dall’assenza o dall’insufficienza delle prescrizioni contenute nel modello» (§ 9).

Dopo aver constatato che la carente composizione dell’Organismo di Vigilanza non ha avuto rilevanza causale, la sentenza analizza in che misura l’attività di vigilanza svolta dall’O.d.V. possa avere rilevanza causale rispetto al reato presupposto. Le dichiarazioni della Corte sono di grande interesse per comprendere natura e funzioni dell’O.d.V.

Su questo punto, la sentenza esordisce affermando che l’attività degli amministratori e del Presidente del Consiglio di amministrazione debba essere supervisionata, nonostante l’importanza della loro funzione, e che ciò sia assolutamente legittimo. Un’altra soluzione porterebbe ad assumere, analogamente a quanto avviene nel diritto societario, il principio della “immedesimazione organica” e a riconoscere che le azioni del rappresentante siano semplicemente trasferite alla società; nei termini che utilizziamo nel dibattito sulla responsabilità penale della persona giuridica, ciò significherebbe accettare il modello della responsabilità vicariale o della responsabilità per fatto altrui. La Corte sottolinea che una simile impostazione, però, violerebbe il principio di colpevolezza. Sebbene tutto ciò sia noto, è interessante constatare come la sentenza colleghi il principio di colpevolezza dell’ente con la necessità di sottoporre a controllo gli amministratori: in altre parole, il controllo degli amministratori è il prezzo che la persona giuridica deve pagare perché il principio di colpevolezza operi.

Una volta affermata la necessità di una supervisione, la questione è stabilire se questa funzione debba essere svolta dall’O.d.V. e nel caso in che modo:

«Ritiene il Collegio che la scelta di fondo del legislatore di tenere distinta la responsabilità dell’ente da quella dei suoi vertici, riconducendo alla prima solo quelle condotte causalmente ricollegabili ad una “colpa di organizzazione”, costituisca, ad un tempo, anche il metro dell’ingerenza consentita all’organismo di vigilanza sugli atti degli apicali, e quindi il contenuto necessario del modello, perché lo stesso possa reputarsi idoneo» (§ 10.2).

La sentenza afferma chiaramente che la vigilanza che l’organo di controllo deve esercitare sull’operato dei membri del Consiglio di amministrazione non può essere di natura tale da stravolgere il sistema di corporate governance stabilito dal diritto societario, trasformando l’O.d.V. in una sorta di ‘sovra-Consiglio’ che deve ratificare tutti gli atti dell’ente:

«Un modello organizzativo che rendesse obbligatorio un preventivo controllo di qualsiasi atto del presidente o dell’amministratore delegato di una società, senza distinzione di contenuto e/o rilevanza, sarebbe difficilmente conciliabile con il potere di rappresentanza, d’indirizzo e di gestione dell’ente, che la legge civile riconosce a quegli organi» (§ 10.2).

Per questo motivo, il compito dell’O.d.V. non è quello di diventare una sorta di ‘cane da guardia’ per tutti gli atti del Consiglio di amministrazione, ma è

«solamente quello di individuare e segnalare le criticità del modello e della sua attuazione, senza alcuna responsabilità di gestione […] l’organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero inevitabilmente la stessa autonomia: ad esso spettano, piuttosto, compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul rispetto di esse nell’ambito del modello organizzativo di cui l’ente si è dotato».

Sulla base di queste premesse, la Corte esclude ovviamente che spetti all’Organismo di Vigilanza esaminare la correttezza di tutte le comunicazioni effettuate dagli apicali competenti al fine di prevenire la manipolazione del mercato.

Quanto detto sinora riguarda la prima parte relativa al “comportamento alternativo lecito”, ossia la determinazione di quale debba essere la condotta dovuta. Successivamente, la Corte esamina in che misura un O.d.V., la cui funzione è quella di verificare l’adeguatezza in via generale dei controlli che riguardano gli amministratori, avrebbe potuto impedire l’evento. La risposta è, come prevedibile, negativa: né la mancanza di autonomia dell’O.d.V., né la configurazione dei suoi poteri di vigilanza sono stati causali rispetto all’evento, che si sarebbe verificato comunque.

Pur non volendo anticipare le conclusioni finali, è già facile constatare che il modello causale del reato colposo con cui la Corte affronta la questione dell’adeguatezza del modello organizzativo trasforma l’Organismo di vigilanza in un elemento puramente ornamentale, privo di qualsiasi efficacia pratica.

4. L’elusione fraudolenta del modello

Il terzo, e ultimo, requisito riguarda l’eventuale elusione fraudolenta del modello organizzativo previsto dall’art. 6, co. 1, lett. c, d.lgs. 231/2001. Si ricorderà che l’interpretazione di questo requisito è stato uno dei punti centrali della sentenza della Corte di Cassazione del 2014, la quale ne offriva una lettura da cui si evinceva chiaramente che il sistema di controlli posto in essere non fosse sufficientemente robusto. Gli amministratori responsabili delle false informazioni non avevano dovuto eludere alcun controllo, in quanto erano loro stessi i responsabili finali dell’emissione della comunicazione.

Vale la pena ricordare la posizione espressa dalla Corte sul punto con le sue stesse parole:

«Non v’è dubbio […] che il concetto di “elusione” implichi necessariamente una condotta munita di connotazione decettiva, consistendo nel sottrarsi con malizia ad un obbligo ovvero nell’aggiramento di un vincolo, nello specifico rappresentato dalle prescrizioni del modello; rafforzato poi dal predicato di “fraudolenza”, contenuto nella norma, che, lungi dall’essere una mera ridondanza, vuole evidenziare l’insufficienza, a tal fine, della semplice e frontale violazione delle regole del modello, pretendendo una condotta ingannatoria» (§ 11.1).

È piuttosto necessario, per usare le parole di quella sentenza, che si tratti di una

«“condotta ingannevole, falsificatrice, obliqua, subdola”, tale da frustare con l’inganno il diligente rispetto delle regole da parte dell’ente» (§ 11.1).

Per la Corte, insomma, l’elusione fraudolenta dimostra che il reato è opera esclusiva degli amministratori e che quindi non corrisponde alla politica della persona giuridica. Il reato, in questo caso, costituisce dunque il prodotto di una scelta personale e autonoma della persona fisica,

«realizzata non già per effetto di inefficienze organizzative, ma, piuttosto, nonostante un’organizzazione adeguata» (§ 11.1).

Sulla base di queste premesse, la sentenza odierna esamina se il Presidente del Consiglio di amministrazione e l’Amministratore Delegato abbiano eluso in modo fraudolento la procedura che prevede, nei casi in cui le informazioni siano rilevanti per la determinazione del prezzo delle azioni, un iter in cui intervengono più organi dell’ente dotati di un’adeguata competenza tecnica, e che successivamente lascia l’approvazione del testo finale e la comunicazione delle informazioni nelle mani del Presidente e dell’Amministratore Delegato. In questa fase finale, il controllo deve essere eseguito congiuntamente da tali soggetti, che hanno il dovere di fornire informazioni veritiere e dettagliate.

La Corte ritiene sussistente un comportamento elusivo e fraudolento sulla base dei seguenti motivi:

«l’aver, dunque, costoro approfittato dello spazio di autonomia tollerabilmente lasciato loro dal modello organizzativo in ragione del loro ruolo e, sì d’intesa tra loro ma in completo spregio dei dati elaborati e loro offerti dalle competenti strutture tecniche della società, l’aver alterato questi ultimi e divulgato ai mercati informazioni inveritiere» (§ 11.2).

Secondo il Collegio, questo modo di agire

«non rappresenta […] una mera violazione delle prescrizioni del modello. Una siffatta condotta, inverso, risulta munita di efficacia decettiva nei confronti degli altri organi dell’ente, non soltanto perché tenuta senza il rispetto del procedimento di comunicazione previsto dal modello, ma altresì in quanto frutto di un accordo estemporaneo e tale, perciò, da rendere impossibile ogni interlocuzione da parte di qualsiasi altro organo sociale».

In sintesi, per la Corte di Cassazione, Impregilo ha efficacemente progettato e adottato un modello organizzativo perché:

secondo lo standard esistente all’epoca, rappresentato dal codice di comportamento approvato dalle associazioni rappresentative di categoria, non esisteva un controllo alternativo rispetto a quello in vigore applicabile all’ente che potesse impedire la commissione del reato;
muovendo dal paradigma della causalità ipotetica implicita nell’idea del “comportamento alternativo lecito”, l’O.d.V., anche se fosse stato istituito come organismo autonomo, non avrebbe impedito il reato, in quanto i suoi compiti di vigilanza riguardano l’idoneità generale e astratta del modello organizzativo, ma non il controllo su condotte specifiche;
c’è stata un’elusione fraudolenta del controllo da parte dei due autori del reato presupposto, che hanno entrambi accettato di comunicare informazioni false, tralasciando le indicazioni fornite loro dagli uffici tecnici della società.

5. Analisi

Come ho sottolineato all’inizio, non si può negare che la sentenza sia di enorme interesse perché offre riflessioni e orientamenti interpretativi molto utili. Naturalmente, non è possibile farne un’analisi esaustiva in questa sede. Tuttavia, condivido le riflessioni sull’interpretazione dell’elusione fraudolenta – se poi sono d’accordo con la sua applicazione al caso in questione è un’altra questione – così come le considerazioni sul ruolo dell’Organismo di Vigilanza.

Mi soffermerò esclusivamente su quello che mi sembra il contributo più rilevante: l’utilizzo del modello del reato colposo per spiegare la responsabilità penale della persona giuridica, basato sull’esistenza di un rapporto di causalità/imputazione obiettiva tra il difetto organizzativo e il reato commesso dalla persona fisica. La lezione principale che a mio parere il caso Impregilo offre è che questo modo di concepire il difetto organizzativo e quindi la responsabilità della persona giuridica porti a risultati incoerenti dal punto di vista teorico e indesiderabili dal punto di vista politico.

Esaminando l’efficacia del modello di compliance sotto il prisma causale, si evince che, ai fini del diritto penale, quasi tutti gli elementi che lo compongono sono inutili. Ciò risulta chiaro quando si esamina la questione dell’O.d.V. L’istituzione di un organismo non più autonomo, ma completamente indipendente, composto dai migliori specialisti del Paese, è causalmente irrilevante se l’obiettivo è quello di impedire una determinata condotta. Chi è in grado di dimostrare che un tale Organismo di Vigilanza avrebbe impedito la commissione del reato? Se questo organismo avesse svolto correttamente il proprio lavoro le cose sarebbero andate allo stesso modo. La Corte di Cassazione non ha torto nel sottolineare che le funzioni dell’O.d.V non possono essere altro che la vigilanza in astratto sull’adeguatezza dei controlli, pena lo stravolgimento dell’intero sistema di corporate governance previsto dal diritto societario; ma se così è, l’efficacia causale della sua attività sarà sempre irrilevante.

Più in generale, il paradigma del reato colposo non solo nega l’importanza dell’Organismo di Vigilanza, ma anche dell’intera attività di compliance aziendale, compresi gli elementi contenuti nell’art. 6, co. 2, d.lgs. 231/2001. Così, ad esempio, a cosa serve la formazione interna se non è possibile dimostrare che una maggiore formazione avrebbe evitato l’evento? Lo stesso può dirsi per l’aggiornamento attento e tempestivo dei controlli, o anche per la preoccupazione degli amministratori di promuovere il ‘tone at the top’… Analogamente, anche misure reattive come le sanzioni per le infrazioni rilevate o la presenza di un canale di segnalazione ben costruito ed efficiente saranno irrilevanti in questo modello esplicativo della responsabilità penale delle persone giuridiche.

L’art. 6, co. 1, lett. a, d.lgs. 231/2001 fa riferimento a modelli organizzativi idonei a prevenire reati della stessa specie di quello commesso, ma tale precetto deve essere letto in combinato disposto con le altre disposizioni dell’art. 6, da cui si evince che un modello di compliance è qualcosa in più dello specifico controllo sulla condotta tipica posta in essere dalla persona fisica. L’utilizzo della struttura del reato colposo produce un’estrema e indebita ibridazione del modello di compliance, in cui rileva solo il funzionamento di uno specifico controllo, in un determinato momento. Gli altri elementi, così come gli sforzi continui dell’ente nella loro attuazione, sono meri ornamenti, nella misura in cui, secondo questa nozione di difetto organizzativo, sono privi di un’efficacia causale rilevante.

Certo, questo modello esplicativo ha il pregio di facilitare il lavoro giudiziario: l’indagine e la prova non devono concentrarsi su qualcosa di così complesso come un intero modello organizzativo e la sua attuazione, ma su una misura di controllo specifica. Tuttavia, questa posizione ignora, da un lato, che la capacità di un modello di compliance di prevenire i reati non dipende solo da singoli controlli ma dalla capacità di generare una cultura della legalità che caratterizzi il funzionamento del modello di compliance nel suo complesso e in maniera continuata nel tempo.

D’altra parte, il modello di reato corporativo colposo o della causalità, a seconda di quanto si voglia essere rigorosi, ci porta o ad assolvere nella maggior parte dei casi o, al contrario, a condannare quasi sempre. Conduce, quindi, a risultati arbitrari. Infatti, se accettiamo una versione molto permissiva del “comportamento alternativo lecito”, in cui ci accontentiamo di dimostrare l’aumento del rischio come conseguenza della mancata adozione di un controllo più adeguato, praticamente qualsiasi errore organizzativo da parte della persona giuridica porterebbe all’affermazione della sua responsabilità. La Corte di Cassazione, pur non avendo sviluppato questo punto, ha adottato una versione più rigida che, al contrario, porta sempre all’assoluzione. In breve, ciò che questa questione dimostra è che il reato commesso dalla persona giuridica o la colpa di organizzazione non corrispondono, da un punto di vista strutturale, al reato colposo.

Un altro aspetto rilevante che aiuta a comprendere la distanza tra colpa e colpa di organizzazione riguarda la determinazione del dovere di diligenza. In relazione a questo punto concordo con la sentenza sulla pertinenza dell’uso della nozione di rischio consentito: ciò che chiediamo è che in relazione ai reati che hanno maggiori probabilità di essere commessi, secondo l’analisi dei rischi effettuata dalla persona giuridica, questa introduca controlli ragionevoli volti a ridurre i rischi a un livello residuale socialmente accettabile.

Tuttavia, il modo di determinare il rischio consentito nella colpa di organizzazione è sostanzialmente diverso da quanto accade nel modello classico del reato colposo. Nella colpa il rischio consentito obbedisce a uno standard oggettivo, agli standard che sono diffusi in una certa attività, in un certo momento storico e, se posso dirlo, in un certo luogo. Pertanto, la determinazione degli standard e delle best practices è di grande importanza per la definizione del profilo obiettivo. Tuttavia, la metodologia per stabilire il rischio consentito nella colpa di organizzazione come base per la responsabilità penale delle persone giuridiche consiste nell’analisi del rischio effettuata dall’azienda stessa. Questo è uno scenario molto diverso da quello della colpa, è lo scenario che contraddistingue l’autoregolamentazione come forma di intervento, in cui ci si aspetta che l’organizzazione compia un esercizio di introspezione e si costruisca un ‘abito su misura’, per evitare controlli inutili – anche se provenienti da standard molto consolidati – e anche per innovare ed essere creativi, evitando il consolidamento di pratiche che potrebbero rivelarsi inefficienti.

L’autoregolamentazione e il suo strumento – l’analisi del rischio – non mirano a far sì che le organizzazioni si conformino allo status quo, ma piuttosto hanno l’obiettivo di garantire che ci sia una costante evoluzione. Pertanto, anche la revisione dei controlli è uno strumento essenziale per la compliance. Se vogliamo esprimerlo in termini di reato colposo – anche se, ripeto, siamo su un terreno diverso – il dovere di diligenza in relazione alla responsabilità penale della persona giuridica sarebbe eminentemente un dovere di diligenza soggettivo che, come ho indicato, svolge un ruolo molto residuale nell’attuale dogmatica del reato colposo.

È quindi sorprendente che nel caso Impregilo l’analisi dei rischi, che è il cervello del modello di compliance, non abbia avuto alcun ruolo. È questo il documento che il Giudice o il Pubblico Ministero deve chiedere in primo luogo all’impresa, per trovare una spiegazione ai vari controlli che la stessa ha messo in atto o che, opportunamente, sulla base dell’analisi dei rischi, ha deciso di non adottare. Naturalmente, nulla impedisce al Giudice o al Pubblico Ministero di prendere in considerazione standard e di richiedere consulenze tecniche su ciò che altre aziende stavano facendo nello stesso momento e nello stesso luogo, ma non è questo a essere rilevante: ciò che conta è la razionalità dei controlli basati sull’analisi del rischio compiuti dalla stessa società.

Un altro aspetto criticabile della sentenza della Corte di Cassazione risiede nel fatto che la scelta del reato colposo come paradigma esplicativo non consente di apprezzare correttamente le diverse funzioni svolte nell’imputazione del reato presupposto all’ente dalle disposizioni di cui all’art. 6, co. 1, lett. a e lett. c, d.lgs. 231/2001. Ridurre l’accertamento dell’adeguatezza del modello al controllo applicabile al caso concreto – la procedura per la comunicazione di informazioni che possono essere price sensitive – dimenticandone i restanti elementi lascia di fatto il requisito dell’elusione fraudolenta sprovvisto di una rilevante funzione.

Il testo dell’art. 6 d.lgs. 231/2001 ben differenzia i due elementi. Come sappiamo, la corretta attuazione del modello organizzativo è elemento comune alla responsabilità penale della persona giuridica per i reati posti in essere da apicali e da subordinati. Concordemente a quanto indicato, l’esame di questo elemento non dovrebbe concentrarsi esclusivamente sul controllo che avrebbe dovuto essere attuato per prevenire il reato, ma sul funzionamento del modello di compliance nel suo complesso (il che non implica, ovviamente, ignorare le singolarità del caso specifico).

Nel caso di reati commessi dai sottoposti, questo è il fattore determinante, come si può dedurre dalla disposizione dell’art. 7 d.lgs. 231. Tuttavia, tra le altre differenze, ciò che distingue il regime di responsabilità nei casi di reato commesso dai sottoposti o dagli apicali è che in quest’ultimo caso il funzionamento in concreto del sistema di controllo deve essere esaminato in dettaglio, ma non già in ragione di quanto previsto dall’art. 6, co. 1, lett. a, d.lgs. 231/2001, bensì proprio con riferimento all’elemento dell’elusione fraudolenta del modello. Questo ci dimostra che in caso di soggetti apicali, la progettazione e il funzionamento dello specifico controllo rilevante nel caso concreto diviene essenziale.

Non posso dilungarmi ulteriormente su questo punto, ma ciò fa parte del regime più severo e rigoroso del sistema di compliance che la persona giuridica deve predisporre per chi è al vertice rispetto a chi non lo è. La Corte di Cassazione con la sua sentenza fonde il significato di questi diversi elementi ed elimina quindi la necessità di distinguere i due sistemi di imputazione.

Concludo: a un osservatore spagnolo, dove vige un sistema di responsabilità da reato degli enti modellato sull’esempio della legislazione italiana, la sentenza Impregilo permette un vero e proprio viaggio nel futuro, da cui è possibile tornare e utilizzare ciò che si è imparato, il che è molto utile. La critica a questa sentenza riguarda il fatto che non chiarisce quale sia la strada da seguire per determinare la colpa organizzativa. Però, cambiando film e citando il simpatico cameriere che chiudeva Irma la Douce di Billy Wilder, «ma questa è un’altra storia».

Il presente contributo è stato precedentemente pubblicato in lingua spagnola con il titolo “Regreso al futuro (2): La eficacia de los programas de cumplimiento en el caso Impregilo de la Cassazione” ed è stato tradotto da Marco Colacurci e Megi Trashaj.

Clicca qui per leggere il testo della sentenza Cass. pen., ud. 11 novembre 2021, dep. 15 giugno 2022, n. 23401, sul caso Impregilo S.p.a.

231/Colpa di organizzazione/Compliance/MOG/ODV/Responsabilità da reato dell'ente

Ritorno al futuro: l’efficacia dei modelli di compliance nel caso Impregilo

1. La sentenza della Cassazione del dicembre 2013 e quella del novembre 2021

2. Il modello di organizzazione e gestione per la prevenzione del reato

3. L’Organismo di Vigilanza (O.d.V.)

4. L’elusione fraudolenta del modello

5. Analisi

Cerca nel sito

Articoli recenti :

Seguici sui social:

Ritorno al futuro: l’efficacia dei modelli di compliance nel caso Impregilo

1. La sentenza della Cassazione del dicembre 2013 e quella del novembre 2021

2. Il modello di organizzazione e gestione per la prevenzione del reato

3. L’Organismo di Vigilanza (O.d.V.)

4. L’elusione fraudolenta del modello

5. Analisi

Articoli correlati

Germania: un’autorità federale per il contrasto al riciclaggio

Letture: Catino, Trovare il colpevole

La nuova disciplina del whistleblowing: il parere del Garante privacy e il position paper di Confindustria sullo schema di d.lgs. di recepimento della Direttiva

Cerca nel sito

Articoli recenti :

Whistleblowing: le criticità empiriche e l’idea dell’incentivo indennitario-assistenziale

L’AI ACT è legge: nuovi obblighi di compliance a carico delle imprese

La Cassazione sull’idoneità del MOG adottato ex post ai fini dell’eliminazione delle carenze organizzative di cui all’art. 17 d.lgs. 231/2001

Seguici sui social: