1.Finalità e struttura del documento
Nel febbraio 2025, il Ministero della Giustizia ha elaborato il documento Criteri guida per la redazione di codici di comportamento delle associazioni rappresentative degli enti: a ridosso della pubblicazione, questo portale ne ha dato notizia (qui il consiglio di lettura della redazione), mentre adesso ci si vuole soffermare sui suoi contenuti, ponendo in risalto soprattutto il rapporto tra l’istituzione pubblica (il Ministero) e l’organizzazione privata (le associazioni rappresentative) nella validazione dei codici di comportamento.
Il documento, infatti, si rivolge non ai singoli enti, ma alle organizzazioni che li rappresentano e fornisce loro dei parametri indicativi con cui sviluppare – o aggiornare – le linee guida per la costruzione dei MOG che esse elaborano al fine di ottenere l’approvazione da parte del Ministero della Giustizia.
Si tratta di quelle policies quali Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo elaborate da Confindustria, che quest’ultima mette a disposizione dei suoi membri affinché le impieghino come benchmark nella costruzione del proprio modello di organizzazione e gestione.
Lo scopo del documento qui in analisi è razionalizzare i processi e i percorsi di autonormazione degli enti ovvero di rappresentare – nel lessico che impiega – una “bussola” orientativa per i “codici di comportamento di categoria”, il cui nord punta al comma 3 dell’art. 6 del Decreto 231.
Codesta disposizione – come noto – prevede il coinvolgimento del Ministero della Giustizia nel procedimento di approvazione dei codici di comportamento redatti dalle associazioni rappresentative e i Criteri guida del 2025 si prefiggono di informare queste ultime circa i parametri che adotta il Ministero nell’esaminare questi codici e di fornire dei canoni con cui costruirli.
Il documento, dopo una breve premessa circa le finalità che intende assolvere, si struttura in due parti.
La prima ricostruisce il sistema della responsabilità da reato degli enti come disciplinata dal Decreto 231 e approfondisce, in particolare, il disposto dell’art. 6, co. 3 e la normativa di attuazione (infra § 2). La seconda, invece, si concentra sui criteri-guida che impiega il Ministero nella valutazione dei codici di comportamento e formula delle indicazioni di ordine generale circa la struttura e gli elementi essenziali di detti codici (infra § 3).
Tutto ciò induce a chiedersi se la rotta intrapresa conduca verso una standardizzazione dei modelli di organizzazione per categoria tale da assicurare uno standard minimo per gli enti appartenenti a un’associazione rappresentativa, innescando un fenomeno di hardification di alcune norme di condotta (infra § 4). A tal riguardo, si deve rilevare sin da ora che i Criteri guida precisino che “in ogni caso, la procedura di approvazione non interferisce con la valutazione di idoneità del singolo modello organizzativo, che rimane di esclusiva competenza del giudice. In altri termini, la conformità di un modello di organizzazione e gestione alle prescrizioni di codici di comportamento che abbia ricevuto l’approvazione del Ministero della giustizia non può mai assicurare, per ciò solo, il positivo esito dello scrutinio giudiziale e l’esonero da responsabilità per l’ente”.
2.La procedura di validazione dei codici di comportamento ai sensi dell’art. 6, co. 3 d.lgs. n. 231/2001
L’art. 6 d.lgs. n. 231/2001 è rubricato Soggetti in posizione apicale e modelli di organizzazione dell’ente e al comma 3 dispone che “I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati”.
Il rinvio fisso al comma 2, poi, richiama i contenuti essenziali del modello (mappatura delle aree di rischio, identificazione del rischio specifico, elaborazione di protocolli di gestione del rischio, obblighi di informazione e sistema disciplinare) e il comma 2-bis pone un altro rinvio fisso alla normativa di attuazione della Direttiva whistleblowing ossia al d.lgs. n. 24/2023 (ampiamente trattato su CCCHub).
Il regolamento di attuazione del Decreto 231, cioè il d.m. n. 201/2003, attraverso gli artt. 5, 6 e 7 dettaglia il procedimento di validazione in seno al Ministero della Giustizia.
L’art. 5, infatti, prevede che le organizzazioni di categoria comunichino a quella che oggi è la Direzione generali affari interni del Ministero della Giustizia “i codici di comportamento contenenti indicazioni specifiche (e concrete) di settore per l’adozione e per l’attuazione dei modelli di organizzazione e di gestione previsti dal medesimo articolo 6”. Inoltre, la stessa disposizione prescrive che le organizzazioni interessate alla validazione del codice depositino anche quanto attesti la loro effettiva rappresentatività (statuto, atto costitutivo, compiti svolti nell’interesse dei rappresentati e così continuando). A ben vedere, si tratta di un adempimento che riveste una funzione centrale perché è volto a dimostrare il possibile effetto a cascata dal modello validato: dall’associazione rappresentativa ai suoi membri.
L’art. 6, poi, stabilisce che il Direttore della summenzionata Direzione – anche coadiuvato da esperti – “esamina i codici di comportamento sulla base dei criteri fissati all’articolo 6, comma 2” ovvero se essi sono dotati dei contenuti essenziali e della procedura di whistleblowing.
L’art. 7, infine, rubricato “Efficacia dei codici”, dispone che sempre il Direttore può comunicare all’associazione proponente “eventuali osservazioni in merito alla idoneità dello stesso a fornire le indicazioni specifiche di settore per l’adozione e per l’attuazione dei modelli di organizzazione e di gestione finalizzati alla prevenzione” dei reati-presupposto. È da precisare che dette osservazioni possono riguardare non solo il lato generale e astratto delle procedure di risk assessment e di risk management, ma anche quello pratico-applicativo sui concreti protocolli da porre in essere per la prevenzione del rischio-reato. Se le integrazioni al codice risultano congrue ovvero il Ministero non formula osservazioni (anche per silenzio assenso) il “codice di comportamento acquista efficacia”.
Si tratta – è bene ribadirlo – non già di un’efficacia esimente dalla responsabilità da reato dell’ente o di una presunzione di idoneità del MOG, ma di una efficacia orientativa per la valutazione di idoneità del modello stesso da parte del giudice penale.
Il modo in cui assume rilievo la conformità del modello organizzativo al codice di comportamento oggetto di validazione da parte del Ministero è stato chiarito dalla giurisprudenza: nella sentenza Impregilo (qui un commento di Adan Nieto Martin per CCCHub), la Corte di Cassazione ha precisato che “in presenza di un modello organizzativo conforme a quei codici di comportamento, il giudice sarà tenuto specificamente a motivare le ragioni per le quali possa ciò nonostante ravvisarsi la “colpa di organizzazione” dell’ente, individuando la specifica disciplina di settore, anche di rango secondario, che ritenga violata o, in mancanza, le prescrizioni della migliore scienza ed esperienza dello specifico ambito produttivo interessato, dalle quali i codici di comportamento ed il modello con essi congruente si siano discostati, in tal modo rendendo possibile la commissione del reato”.
Nelle istruttorie per la validazione del modello, il Ministero della Giustizia ricorre al contributo di Ministeri e di Autorità amministrative che si occupano della tutela degli interessi sottesi ai diversi reati-presupposto quali il Ministero del lavoro, dell’Interno, dell’Economia, delle Imprese (già Sviluppo economico), la CONSOB e la Banca d’Italia proprio al fine di vagliare il codice di comportamento alla luce dei diversi rischi che possono crearsi durante l’attività di impresa nei diversi settori di business.
Affinché un codice – retius il modello di codice elaborato dall’organizzazione rappresentativa – riceva la validazione da parte del Ministero della Giustizia occorre che questo precisi in maniera chiara
- il settore di business degli enti rappresentati;
- gli elementi fondamentali del modello organizzativo in relazione ai processi decisionali tipici di ciascun settore di business;
- le aree di rischio-reato con riferimento all’attività dell’ente;
- i protocolli da mettere in pratica per dar corso alle decisioni del management dell’ente e alla gestione delle risorse finanziarie.
Si tratta, come si evince, di un procedimento complesso che sottolinea l’importanza della partnership pubblico-privata in settori come la prevenzione del crimine corporativo, ma – al contempo – evidenzia come la stessa complessità meriti di essere resa accessibile agli Stakeholders, rendendo noti i criteri adottati dal Ministero della Giustizia per la valutazione dei codici di comportamento.
3.I criteri ministeriali per la valutazione dei codici di comportamento e lo ‘schema-base’ del modello di organizzazione e gestione
I Criteri guida del 2025, pertanto, individuano tre principi che il Ministero della Giustizia impiega nella valutazione delle policies di autonormazione ossia (1) l’efficacia, (2) la specificità e (3) la dinamicità del codice di comportamento.
L’efficacia del codice di comportamento fa riferimento alla capacità dell’atto di orientare il comportamento degli associati verso l’adesione a quanto stabilito dal modello dell’associazione rappresentativa: le regole previste nel modello generale devono essere “realmente implementabili, offrendo indicazioni in grado a conformare le scelte degli enti rappresentati in sede di predisposizione dei meccanismi preventivi finalizzati a ridurre significativamente l’area del rischio di responsabilità”. In pratica, dal codice-modello elaborato dall’associazione (e vidimato del Ministero) l’associato deve “poter ricavare strumenti concreti” sia di ordine interpretativo del disposto normativo a cui l’azione dell’ente deve essere compliant sia di ordine pratico-operativo per essere applicati all’interno della propria realtà imprenditoriale e per evitare il fenomeno della c.d. cosmetic compliance.
La specificità del codice di comportamento indica la specificità delle regole in relazione alla realtà imprenditoriale di cui sopra ovvero al settore di mercato, alle prassi ivi diffuse e ai rischi che vi promanano. Il modello, in pratica, deve essere tailor-made per assolvere alle funzioni che gli affida l’art. 6 del Decreto 231: il documento del Ministero della Giustizia, infatti, precisa che “L’obiettivo perseguito dai codici di comportamento deve essere, in questo contesto, quello di evitare la riproduzione di modelli di organizzazione caratterizzati da genericità e, quindi, non in grado di reggere al vaglio giudiziario. Tale esigenza è volta ad assicurare l’individualizzazione e la modulabilità, da parte di ciascun ente interessato, delle indicazioni che il codice di comportamento rivolge a tutti gli associati della categoria rappresentata”.
La dinamicità del codice di comportamento delinea la capacità del codice di fornire indicazioni in grado di adattarsi alle circostanze concrete e di intercettare i vari casi che si possono verificare nella realtà imprenditoriale. Le regole, come precisa il documento qui in analisi, si devono “adatta[re], nella trasposizione realizzata dai singoli enti nei propri modelli organizzativi, alle evoluzioni dei fenomeni da considerare e gestire” e devono risultare “adeguat[e] al mutamento della realtà organizzativa e di operatività di riferimento, nonché ai rischi di commissione di illeciti”.
Dopo aver individuato i tre parametri con cui il Ministero valuta i codici di comportamento, ne viene fornito uno ‘schema-base’, che tiene conto del disposto dell’art. 6, co. 2 e 2-bis del Decreto 231 e del d.m. 201/2003, della migliore prassi diffusa nel settore preso in considerazione, delle indicazioni fornite dalla giurisprudenza e anche delle riflessioni degli studiosi e delle esperienze di diritto comparato.
Infatti, lo ‘schema-base’ fornito dai Criteri guida del 2025 non è da considerarsi esaustivo e richiede, come le stesse precisano, “un successivo intervento di concretizzazione e specificazione a cura di ciascuna associazione rappresentativa, da declinarsi sulle caratteristiche della categoria di riferimento”.
Il primo elemento che deve essere presente nel codice è il “Quadro normativo e finalità generali della disciplina ex d.lgs. n. 231/2001” ovverosia una parte che spieghi all’impresa, ai suoi apicali e sottoposti le ragioni del modello 231 e, più in generale, della corporate compliance come scolpita dal Decreto 231 e i tratti salienti del sistema della responsabilità da reato degli enti.
Il secondo requisito, poi, è la “Distinzione tra “parte generale” e “parte speciale” del modello organizzativo”, dove la prima descrive la struttura dell’ente, la sua governance, il settore di attività, la forma giuridica ossia tutto quanto è necessario a definire l’identità dell’ente, mentre la seconda è dedicata ai protocolli di prevenzione del rischio reato con riferimento ai diversi ambiti in cui opera l’ente.
Pertanto, il terzo canone è rappresentato dagli “Elementi della c.d. “parte generale” del modello organizzativo”, che deve contenere – oltre a quanto testé menzionato – anche tutti gli elementi individuati dal Decreto 231 (codice etico, organismo di vigilanza, sistema disciplinare, canali di whistleblowing, sistema di monitoraggio del modello e così continuando) affinché gli associati possano “predisporre modelli organizzativi che siano il più possibile informati alla logica tailor-made, ossia tarati sulla struttura, sul grado di complessità e sulle risorse di quello specifico ente”. Inoltre, specificano i Criteri guida, deve essere predisposta una sezione dedicata alla compliance integrata – afferente cioè al coordinamento tra le varie procedure volte ad assicurare la conformità alle diverse normative che l’ente deve rispettare, da quelle antiriciclaggio a quelle atte a garantire la parità di genere.
Infine, e consequenzialmente, il quarto presupposto consta degli “Elementi della c.d. “parte speciale” del modello organizzativo”, dove trova collocazione la mappatura delle aree di rischio in relazione alle diverse ipotesi di reato-presupposto previsti nel corpo del Decreto 231 e i presidi preventivi e i protocolli operativi per ridurre il rischio di commissione del reato. Le componenti di questo capitolo del codice di comportamento sono, fra le altre, l’elencazione dei reati-presupposto che prevenire, la metodologia impiegata per la costruzione della parte speciale del MOG e i criteri con cui le imprese aderenti all’organizzazione possano strutturare il proprio ed esempi di protocolli di riferimento. Sul punto, i Criteri guida precisano che quanto ivi riportato è “uno standard minimo, che lascia aperta la possibilità per le associazioni rappresentative degli enti di prevedere elementi ulteriori o un maggior grado di dettaglio”.
Quest’ultima considerazione induce, dunque, a chiedersi se ci si sta dirigendo verso la standardizzazione di alcune regole da introdurre nel MOG e, più in generale, se l’art. 6, co. 3 d.lgs. n. 231/2001 spinga verso l’hardification di alcune regole di condotta.
4.Conclusioni: verso uno standard minimo per i modelli di organizzazione e l’hardification delle regole di condotta?
Sembra, quindi, che i Criteri guida del 2025 vogliano caldeggiare le associazioni rappresentative delle imprese ad elaborare dei codici di comportamento da sottoporre alla procedura di validazione di cui all’art. 6, co. 3 del Decreto 231 con una finalità che pare duplice.
Da un canto, pare che tendano a promuovere un minimo standard di condotta per quelle imprese che aderendo ad un’associazione di categoria vogliano introdurre al proprio interno un modello di organizzazione e gestione, i cui principi generali sono stati validati da parte del Ministero della Giustizia, che se non valgono ad esimere l’ente dalla responsabilità 231, certamente possono guidare la valutazione del giudice penale sull’idoneità dello stesso, come stabilito dalla sentenze Impregilo della Cassazione.
Dall’altro, sembra che incentivino l’approccio top-down nella diffusione dei modelli di compliance. L’art. 6, co. 3 del Decreto 231, infatti, prevede la validazione dei soli codici formulati dalle organizzazioni rappresentative per cui i canoni minimali potrebbero (e dovrebbero) diffondersi a cascata nelle singole e diverse imprese aderenti all’organizzazione che ha promosso il processo di comunicazione al Ministero della Giustizia e ne ha ottenuto la validazione.
In una prospettiva ulteriore, ci si deve chiedere se alcune delle regole di condotta contenute nei codici di comportamento – elaborati da alcune organizzazioni private e validate da un’istituzione pubblica, quale il Ministero della Giustizia – possano subire un processo di c.d. hardification da parte dell’art. 6, co. 3 del Decreto 231.
Come noto, si tratta di quel processo per cui alcune regole di soft-law, elaborate a seguito di un processo di autonormazione, acquistano una forza cogente simile a quelle di hard-law per cui la loro previsione in policies quali i modelli di organizzazione e gestione e, più nello specifico, i codici di condotta, è un requisito essenziale perché rientrino nel minimo standard diffuso in un determinato settore.
A ben vedere, i Criteri guida del 2025 paiono confortare tale tesi, nel senso che la divisione tra una parte generale e una parte speciale del modello organizzativo non è prevista dal Decreto 231, ma è l’hardification di una regola nata dalla prassi che ha ricevuto sempre più adesioni e alla fine tende ad essere validata da parte dell’istituzione pubblica, come riconosciuto dal documento che si è analizzato. Inoltre, un’altra regola che pare aver subito il medesimo processo di hardification è quella di raggruppare le “famiglie di reato” e su tale raggruppamento costruire gli “standard di controllo”, come riconoscono gli stessi Criteri guida.
In conclusione, il documento che si è analizzato è da salutare con favore perché – oltre a compiere una meritoria opera di dissemination circa la cultura della compliance – incoraggia le organizzazioni di categoria a sottoporre i codici di comportamento alla validazione del Ministero della Giustizia, avendone resi accessibili i criteri impiegati nella valutazione, promuove l’implementazione di uno standard minimo di tutela nei diversi settori in cui operano le associazioni rappresentative e, soprattutto, in prospettiva di sistema, apre ad un riconoscimento dell’hardification delle regole di condotta per mezzo dell’art. 6, co. 3 del Decreto 231.