Un MOG per le PMI: la UNI/PdR 138:2023 e il rischio di adesioni formali al d.lgs. 231/01

di  Megi  Trashaj,  Dottoranda in  Diritto penale;  Avvocato

 

 

 

1. Un MOG per le piccole e medie imprese: la UNI/PdR 138:2023

 

Nel gennaio del 2023 l’Ente Italiano di Normazione – UNI ha pubblicato il documento dal titolo «Modello semplificato di organizzazione, gestione e controllo di cui al D.Lgs. 231/2001 per la prevenzione dei reati contro la Pubblica Amministrazione e dei reati societari nelle micro e piccole imprese» (UNI/PdR 138:2023).

 

Tale documento raccoglie prescrizioni tecniche (ex Reg. UE 1025/2012) relative a prassi condivise[1] in materia di redazione di modelli organizzativi ex d.lgs. 231/2001 per le piccole/medie imprese.

 

La Prassi di riferimento (PdR), che sarà qui analizzata, ha l’obiettivo di indicare delle linee che supportino le PMI nell’adozione ed efficace attuazione di un modello di organizzazione e gestione ai sensi del d.lgs. 231/2001 che, come noto, disciplina la responsabilità amministrativa/penale a carico di enti per reati commessi da persone fisiche nel loro interesse o vantaggio.

 

Seppure la recente PdR si focalizzi sul tema della prevenzione dei reati contro la pubblica amministrazione e societari, essa contiene anche indicazioni più generali sulla compliance che potrebbero essere utili alle PMI per contrastare il verificarsi di diversi e ulteriori illeciti che compaiono nel ‘catalogo’ del d.lgs. 231/2001.

 

 

2. Cosa sono le PMI, quanto sono diffuse e le criticità in materia compliance

 

Le piccole e medie imprese (PMI) rappresentano la forma più diffusa di impresa a livello globale e pongono particolari questioni in materia di compliance.

 

Per «microimpresa» si intende l’azienda che occupa meno di 10 dipendenti, con un fatturato inferiore ai 2 milioni di euro e un valore totale dello stato patrimoniale minore di 2 milioni di euro. La «piccola impresa», invece, è quella che occupa meno di 50 dipendenti, con un fatturato inferiore ai 10 milioni di euro e un valore totale dello stato patrimoniale minore di 10 milioni di euro (in tal senso si vedano l’art. 5, co. 1, lett. a, legge n. 180 del 2011 e la Raccomandazione della Commissione Europea 2003/316/CE del 6 maggio 2003).

 

In un precedente contributo si è già avuto modo di constatare come le PMI, dal punto di vista empirico, siano molto diffuse sia in Italia, dove il 99,5% delle aziende italiane impiega meno di 50 dipendenti, che negli altri stati del mondo, dove il 70 – 95% delle aziende è qualificabile come Small and Medium Enterprises, cd. SMEs, dato tratto dal Toolkit for raising awareness and preventing corruption in SMEs, p. 6, OECD).

 

Il tema della compliance all’interno delle PMI, come noto nel dibattito attuale, è particolarmente delicato.

In estrema sintesi, da una parte le PMI avvertono difficoltà ad uniformarsi agli standard di conformità più avanzati a causa di diversi fattori tra i quali: i. la sovrapposizione tra proprietà e controllo; ii. la gestione ‘informale’ dei processi che funge da ostacolo ad una corretta organizzazione interna; iii. la carenza di fondi da investire nella implementazione della compliance.

 

Dall’altra, però, il d.lgs. 231/2001 nella sua formulazione attuale non detta specifiche disposizioni che tengano in dovuta considerazione le peculiarità di queste imprese (salvo, per la precisione, l’art. 6, co. 4, d.lgs. 231/2001 che consente agli «enti di piccole dimensioni» una costituzione semplificata dell’OdV).

 

Alla luce di tali criticità, la recente UNI/PdR 138:2023, dunque, potrebbe rivelarsi davvero utile per «stimolare alla compliance» queste particolari imprese che incontrano «ostacoli e disincentivi ad adottare spontaneamente un Modello virtuoso di organizzazione» (UNI/PdR 138:2023, p. 4).

 

 

3. Come costruire il MOG per la PMI

 

Nei diversi paragrafi della UNI/PdR 138:2023 sono indicati in maniera sintetica ed efficace i passaggi che dovrebbero seguire le piccole e medie imprese per la costruzione del loro modello organizzativo ex d.lgs. 231/2001. Vediamoli nel dettaglio, soffermandoci su quelli più significativi.

 

 

3.1. La panoramica sulla responsabilità da reato dell’ente

 

Il MOG «riassume il sistema normativo previsto dal D.Lgs 231/2001, elencando i reati presupposto, i criteri di imputazione dei reati all’ente e le sanzioni a carico dell’ente collettivo» (UNI/PdR 138:2023).

 

La PdR, dunque, suggerisce alle PMI di dar contro nel modello dei tratti essenziali della normativa in materia di responsabilità della societas facendo anche riferimento alla differente disciplina dettata per il reato commesso dall’apicale e dal subordinato (artt. 5, 6 e 7 d.lgs. 231/2001), all’elenco tassativo dei reati presupposto (artt. 24 ss. d.lgs. 231/2001), al sistema sanzionatorio (artt. 9 – 23 d.lgs. 231/2001).

 

Nel MOG, inoltre, sarebbero da illustrare «i contenuti indefettibili e la rilevanza giuridica del Modello di organizzazione, gestione e controllo» nonché «il ruolo e le funzioni dell’OdV» (UNI/PdR 138:2023).

 

In tal senso la PdR indica all’ente di dar conto nel modello stesso che il d.lgs. 231/2001 stabilisce l’assenza di responsabilità per l’impresa (nonostante il verificarsi del reato presupposto) nel caso dell’adozione e efficace attuazione, prima del fatto di reato, di un MOG idoneo a prevenire reati della specie di quello verificatosi quando sia stato al contempo istituito un OdV autonomo, indipendente e con adeguata competenza e continuità d’azione (sul punto la PdR rinvia alle Linee guida di Confindustria e ad una successiva parte del MOG sulla quale ci si soffermerà nel par 3.8).

 

 

3.2. I destinatari del modello e le clausole contrattuali per gli esterni all’organizzazione

 

Il MOG «individua i suoi destinatari, vale a dire i soggetti vincolati alla sua osservazione» (UNI/PdR 138:2023).

La Prassi in commento propone di indicare nel modello che esso dovrà essere rispettato dall’organo amministrativo, dai dipendenti ma anche dai partner commerciali e dai consulenti esterni.

 

Con riferimento a queste ultime due categorie la PdR suggerisce di far riferimento, già nel modello, al fatto che la società imporrà il rispetto del MOG a coloro che sono esterni all’organizzazione in «virtù di apposita clausola contrattuale» che dunque dovrà essere inserita nei negozi giuridici conclusi dall’impresa con i terzi. Anche quando una o più attività vengano esternalizzate, «il contratto alla base del rapporto richiamerà i punti di controllo per ognuna di esse».

 

 

3.3. La descrizione dell’ente, gli obiettivi che esso si prefigge di raggiungere con il modello e i principi etici

 

Il MOG «contiene una sintetica descrizione dell’azienda e delle sue attività» (UNI/PdR 138:2023).

 

Per stilare questa parte del modello la PMI potrà utilizzare informazioni tratte dalla visura camerale e riportare l’organigramma.

 

Il MOG, inoltre, «illustra gli obiettivi che l’organo amministrativo intende perseguire con la sua adozione» (UNI/PdR 138:2023).

 

Con riferimento a tale aspetto, la PdR propone alla PMI di indicare i motivi che la portano all’adozione del MOG. A titolo esemplificativo: assicurare «condizioni di correttezza e trasparenza nella conduzione degli affari», tutelare la «propria reputazione commerciale».

 

L’ente, inoltre, dovrebbe anche esplicitare gli aspetti positivi che possono derivare dall’approvazione del modello. Tra essi, la PdR, suggerisce: i. promozione di comportamenti «virtuosi e corretti»; ii. sviluppo in tutti coloro che operano per conto dell’impresa di un senso di responsabilità correlato alla consapevolezza che, a fronte dell’illecito, oltre all’agente sarà punito altro soggetto e cioè l’impresa; iii. benefici nei rapporti con gli enti che vorranno valorizzare l’impegno dell’azienda verso la compliance.

 

Il MOG, in aggiunta, «contiene alcuni principi etici utili a completarne la finalità di prevenzione dei reati». Tra questi la PdR suggerisce richiami al rispetto della legge, all’onestà e alla correttezza, alla lealtà e fedeltà nei confronti dell’ente e al divieto di realizzare illeciti che possono coinvolgere l’ente in procedimenti ex d.lgs. 231/2001.

 

 

3.4. I «reati rilevanti» per l’impresa e la valutazione dei rischi

 

Il MOG «elenca i reati ritenuti rilevanti nell’attività dell’ente» (UNI/PdR 138:2023).

 

Per la redazione di questa parte è richiesto all’ente di individuare formalmente quelle che sono le fattispecie di reato (idonee a far sorgere una responsabilità per la società ex d.lgs. 231/2001) rilevanti con riferimento all’attività svolta dall’impresa. Nel MOG la PMI dovrebbe elencare i reati individuati ed esplicitarne la disciplina giuridica, eventualmente in apposito allegato esterno al modello.

 

L’elaborazione di questa parte del modello impone uno studio individuale sulla singola azienda che, per prevenire il ‘rischio’ della verificazione di un reato/una classe di reati, deve necessariamente individuare tale ‘rischio’. Più nello specifico, ogni PMI, dovrà eseguire una ricognizione su tutte le attività svolte e isolare quelle in relazione alle quali «in linea teorica, possono essere commessi i reati previsti nel D.Lgs. 231/2001».

 

I criteri per la valutazione del rischio sono rimessi dalla PdR all’autonomia del singolo ente. È importante, però, secondo quanto riportato nel documento in analisi, che le valutazioni siano sottoposte a periodico riesame, su impulso dell’OdV, a fronte di mutamenti della normativa applicabile all’attività o dell’organizzazione e nei casi in cui emergano violazioni del MOG.

 

 

3.5. L’interesse o vantaggio dell’ente

 

Il MOG «contiene una sintetica illustrazione della finalità di vantaggio dell’impresa che può essere associata alle fattispecie di reato individuate» (UNI/PdR 138:2023). In questa parte è richiesto alla PMI di esplicitare quale possa essere l’interesse o il vantaggio (ex art. 5 d.lgs. 231/2001) dell’ente con riferimento ai reati commessi dalle persone fisiche che operano al suo interno tenendo le condotte di reato precedentemente individuate.

 

Si suggerisce di rendere esplicito nel modello che la responsabilità dell’ente non è correlata all’effettivo raggiungimento di un’utilità per l’azienda.

 

Nella PdR sono riportati, per supportare la PMI nella redazione del MOG, delle esemplificazioni:

• con riferimento ai reati contro la p.a. l’illecito potrebbe essere commesso per «far conseguire all’impresa indebitamente un atto amministrativo, o anche per ottenere un interessamento da parte del pubblico funzionario in favore dell’impresa»;
• i reati societari potrebbero essere posti in essere per «determinare una falsa rappresentazione della situazione economica e finanziaria dell’impresa, nei bilanci e nelle scritture contabili, al fine di ottenere vantaggi indebiti nei rapporti con banche, creditori o controparti societarie».

 

 

3.6. Le attività sensibili

 

Il MOG «elenca le attività sensibili» (UNI/PdR 138:2023) nell’esercizio delle quali possono essere commessi, per procurare vantaggio all’impresa, i reati precedentemente individuati.

 

Con riferimenti al rischio di reati contro la p.a. e di reati societari tra le «attività sensibili» individuate dalla PdR compaiono:

• la gestione della contabilità, della tesoreria, dei rapporti con i privati in ambito societario;
• l’amministrazione del ciclo passivo su beni, servizi, lavori e selezione dei fornitori;
• il governo degli accertamenti richiesti dalla legislazione vigente anche in occasione di verifiche e ispezioni;
• gli adempimenti societari;
• le azioni intraprese nei confronti di dipendenti e collaboratori e dunque quelle che si inseriscono nell’ambito di assunzioni, cessazioni dei rapporti di lavoro, retribuzioni, ritenute fiscali e contributive;
• la gestione dei rapporti con l’autorità giudiziaria e la p.a. e dei contenziosi nonché delle nomine dei professionisti esterni e il coordinamento della loro attività;
• la negoziazione, stipula ed esecuzione di contratti con enti pubblici;
• gli adempimenti posti in essere per la richiesta di finanziamenti e agevolazioni.

 

 

3.7. I protocolli di organizzazione, gestione e controllo

 

Il MOG «contiene apposite regole di condotta e di controllo finalizzate alla ragionevole prevenzione dei rischi di reato individuati che devono essere ben conosciute ed applicate da tutti i destinatari del MOG stesso» (UNI/PdR 138:2023). Tale previsione è evidentemente diretta a rendere il modello conforme a quanto previsto dall’art. 6, co. 2, l. b, d.lgs. 231/2001 (il MOG deve «prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire»).

 

In relazione a questo punto le esemplificazioni della PdR sono molteplici. Soffermiamo, per ragioni di sintesi ma anche per rilevanza, l’attenzione su una di esse, rinviando per lo studio delle restanti alla lettura della PdR.

 

Come poc’anzi ricordato, tra le attività sensibili con riferimento ai reati contro la p.a. e a quelli societari, potrebbe-dovrebbe essere individuata dalla PMI la «gestione del ciclo passivo» su beni, servizi, lavori e selezione dei fornitori.

 

In relazione a questa attività, per l’elaborazione del protocollo, la PdR suggerisce di costruire una procedura decisionale e di controllo

• individuando preventivamente limiti di spesa per gli approvvigionamenti;
• limitando il riscorso ad acquisti urgenti ai casi di «reale gravità o non prevedibilità» e mantenendo comunque traccia scritta delle motivazioni dell’urgenza;
• prevedendo per i negozi che superano un certo valore l’obbligo di un confronto concorrenziale per la selezione del fornitore;
• effettuando valutazioni periodiche dei fornitori e della qualità della prestazione da essi eseguita, valutazione che dovrebbe auspicabilmente essere attuata da soggetto diverso rispetto a quello che conclude il negozio o esegue il pagamento verso il terzo.

 

 

3.8. L’individuazione dell’organismo di controllo e vigilanza della PMI e la disciplina dell’esercizio delle sue funzioni

 

Il MOG «prevede l’istituzione e la sintetica regolamentazione dell’OdV» (UNI/PdR 138:2023).

 

In relazione a questo aspetto la PdR dà conto del fatto che, con riferimento alle PMI, è ragionevolmente ipotizzabile che le funzioni dell’OdV possano essere assegnate:

• all’organo amministrativo (in relazione a questo aspetto si veda l’ 6, co. 4, d.lgs. 231/2001: «negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti direttamente dall’organo dirigente», unica regola del Decreto – come anticipato – che differenzia il trattamento normativo per le PMI rispetto a quello riservato alle altre imprese);
• ad un consulente esterno con adeguata professionalità;
• al sindaco unico (ove presente);
• al responsabile del sistema di gestione aziendale (ove presente).

 

L’organo amministrativo, comunque, potrebbe optare anche nella PMI per un OdV a composizione collegiale (con una combinazione delle diverse figure poc’anzi menzionate: organo amministrativo e sindaco unico, organo amministrativo e consulente esterno, ecc.).

 

In ogni caso, seguendo il dettato della PdR, il modello dovrebbe espressamente indicare il soggetto (i soggetti) che ricopre (che ricoprono) la funzione di OdV all’interno dell’ente.

 

Sempre in tema di vigilanza, il MOG «indica le modalità dello svolgimento delle verifiche periodiche dell’OdV sui protocolli adottati» (UNI/PdR 138:2023).

 

In relazione a questo aspetto la PdR propone alla PMI di regolare la funzione dell’OdV differenziando due fasi:

• in prima battuta l’OdV dovrebbe eseguire una «vigilanza sui protocolli» (con indagini su effettiva attuazione, anomalie e criticità);
• in un secondo momento, l’organismo dovrebbe (eventualmente) intraprendere «azioni correttive e azioni preventive».

 

In ogni caso, secondo le indicazioni contenute nel documento in analisi, nell’esercizio delle sue funzioni l’OdV dovrebbe

• verbalizzare le verifiche effettuate e le anomalie, ove riscontrate;
• individuare i fattori che hanno generato le criticità;
• elaborare azioni correttive per eliminare le cause che hanno dato luogo a comportamenti difformi dai protocolli;
• proporre (o, se in suo potere, adottare) le azioni preventive ritenute necessarie per la compliance e, successivamente, verificarne l’attuazione.

 

Il MOG, infine, stando alla PdR, dovrebbe anche esplicitare tra i compiti dell’OdV quello di individuare i canali che consentano ai destinatari del modello di presentare, in via riservata, segnalazioni di reati rilevanti ai fini del d.lgs. 231/2001 o di violazioni del modello (in relazione a tale punto il riferimento è chiaramente al fenomeno del whistleblowing).

 

 

3.9. La formazione e l’informazione del personale

 

Il MOG «prevede e disciplina sinteticamente l’obbligo di formazione del personale a carico dell’organo amministrativo» (UNI/PdR 138:2023). La PdR con riferimento a questo profilo suggerisce all’organo amministrativo e/o all’OdV di predisporre un incontro annuale di formazione avente ad oggetto l’illustrazione:

• delle disposizioni normative contenute nel d.lgs. 231/2001;
• del MOG adottato dalla PMI;
• delle regole etiche e di condotta contenute nel modello;
• dell’eventuale casistica di rilievo.

 

 

3.10. Il sistema sanzionatorio e le difficoltà di rispondere alle violazioni degli amministratori delle PMI

 

Le disposizioni del MOG sono presidiate «da sanzioni disciplinari (per i dipendenti) o contrattuali (per i terzi soggetti)» (UNI/PdR 138:2023).

 

In questo senso, nella redazione del MOG, l’ente dovrebbe informare i destinatari che il mancato rispetto del modello

• rappresenta una violazione dei doveri di diligenza posti dall’ordinamento in capo al lavoratore;
• nei casi più gravi, deve considerarsi lesiva del rapporto fiduciario tra dipendente e soggetti apicali;
• configura illecito disciplinare con conseguente applicabilità delle sanzioni previste dal CCNL di riferimento (in relazione a quest’ultimo aspetto la PdR indica alle PMI di dar conto delle specifiche sanzioni previste dal CCNL).

 

Con riferimento agli amministratori, l’applicazione di sanzioni nei loro confronti per la violazione del modello «appare astrattamente possibile solo se l’organo amministrativo è collegiale» (UNI/PdR 138:2023). Se così fosse, anche in quest’ultimo caso, il trattamento che segue alla violazione deve essere espressamente indicato nel MOG e potrebbe consistere, stando alla PdR, anche

• nella revoca o sospensione delle procure;
• nella decurtazione della retribuzione;
• nell’esercizio dell’azione di responsabilità prevista dal codice civile (casi più gravi).

 

In generale la PdR suggerisce di esplicitare nel MOG che a fronte di eventuali violazioni, l’ente potrebbe proporre contro la persona fisica che ha adottato comportamenti non compliant richieste di risarcimento dei danni. In relazione a tale previsione sembra che essa sia indicata nella PdR più per una responsabilizzazione del lettore che per la definizione di un vero e proprio sistema sanzionatorio a fronte della violazione delle regole del MOG.

 

 

4. La PdR come ‘traccia’ e non per un ‘modello fotocopia’

 

La redazione e la diffusione della UNI/PdR 138:2023 rappresenta un modo per supportare le PMI nel superamento delle criticità riscontrate in materia compliace. Questo documento infatti offre una traccia per la redazione di un modello organizzativo che impegni l’ente nella prevenzione dei reati ex d.lgs. 231 e può inserirsi tra quelle attività di supporto alle piccole e medie imprese che recentemente ha suggerito (a attori pubblici e privati) anche l’OECD con il Toolkit for raising awareness and preventing corruption in SMEs.

 

D’altra parte, però, la PdR deve essere usata sapientemente e con estrema cautela dalla PMI: essa può costituire solo una traccia per l’elaborazione del MOG che, per quanto possa essere ‘semplificato’ con riferimento a piccole e medie imprese, non può prescindere da un previo studio di attività, organizzazione e rischi dello specifico ente che lo adotta.

 

L’aderenza solo formale al dettato normativo e quindi i cd. modelli fotocopia potrebbero, infatti, celare uno scarso impegno delle PMI nell’attività alla quale sono chiamate, al pari delle altre imprese, dal Decreto 231: la prevenzione del reato commesso nel loro interesse o vantaggio.

 

 

 

 

Clicca qui per scaricare la UNI/PdR 138:2023 (è necessaria la previa registrazione dell’utente sul sito www.uni.com).

 

 

[1] La prassi di riferimento è stata elaborata dal Tavolo «MOG prevenzione corruzione PMI» condotto da UNI e costituito da: Maurizio Arena – Project Leader (Studio Legale Arena), Paolo Angheben (Confindustria Trento), Alessandro Foti (AIAS), Daniele Sciardiglia (ADIUVA CONSULTING), Elisabetta Sovilla (Provincia autonoma di Trento), Lucia Venditti (Studio Legale Arena).