Vigilanza bancaria, compliance e responsabilità da reato

E’ noto che le imprese del settore bancario sono soggette a specifiche regole e sottoposte a vigilanza da parte di autorità pubbliche, nazionali ed europee. L’attenzione delle autorità di supervisione è elevata sugli assetti di governo e controllo delle banche, mirando a stimolare una adeguata gestione dei profili di rischio. La disciplina di settore si affianca però, e in una certa misura si intreccia e sovrappone, alla disciplina generale sulla responsabilità da reato degli enti recata dal d.lgs. n. 231/2001: occorre dunque riflettere sulle modalità attraverso le quali le due discipline possono efficacemente coesistere, coordinandosi ed evitando  sovrapposizioni.

 

 

1.La disciplina della vigilanza bancaria

Sembra utile partire dalla disciplina in materia di vigilanza bancaria, e in particolare dalla direttiva 2013/36/UE sull’accesso all’attività e sulla vigilanza prudenziale[1] e dal regolamento (UE) n. 575/2013 sui requisiti prudenziali per gli enti creditizi e le imprese di investimento[2]. Tale disciplina è per buona parte incentrata su prescrizioni miranti a garantire il mantenimento da parte delle banche di livelli patrimoniali e di liquidità sufficienti per adempiere i loro obblighi e assorbire perdite inattese[3].

La scelta del legislatore europeo di dettare le regole prudenziali tramite un regolamento, che in quanto tale è direttamente applicabile agli Stati membri ed esclude margini di discrezionalità (salve talune opzioni esercitabili a livello nazionale), è volta a preservare il sistema finanziario da possibili crisi, che possono assumere dimensioni globali.

Ma è importante sottolineare che la finalità di attribuire stabilità all’intero sistema viene perseguita anche attraverso la sana e prudente gestione di ciascun intermediario. Per questo motivo, un altro elemento cardine della disciplina europea di vigilanza, che si affianca alle regole prudenziali, è rappresentato dalla attenzione per la governance delle banche.

Se infatti è sempre vero che una cattiva governance può causare la crisi dell’impresa vittima della mala gestio, va considerato che – diversamente da quanto avviene in altri settori dell’economia – la crisi di una banca può anche determinare effetti di portata sistemica, perché la perdita di fiducia del pubblico può coinvolgere altri intermediari e propagarsi a tutto il settore bancario, ripercuotendosi in ultima analisi sulla capacità dell’economia reale di reperire le risorse finanziarie necessarie per il suo sviluppo.

E’ per questo motivo che la direttiva del 2013 sui Capital Requirements si concentra, oltre che sulla vigilanza bancaria, anche sulla governance degli enti creditizi. La CRD infatti, dettando principi puntuali in aree in cui la convergenza tra gli ordinamenti dei Paesi europei sarebbe stata altrimenti difficile (diritto societario, sanzioni), disciplina: i compiti degli organi sociali; la loro composizione qualitativa e quantitativa (requisiti di reputazione e professionalità, diversità anche di genere); le regole sulle remunerazioni; l’istituzione e il ruolo dei comitati interni; i limiti al cumulo degli incarichi; il sistema di risk management; gli obblighi di informativa al mercato.

La normativa italiana sulla vigilanza bancaria, dal canto suo, è stata sempre molto attenta al sistema dei controlli nelle banche e agli aspetti di governance, anticipando anche le indicazioni europee. Infatti, già l’art. 53 del testo unico bancario (TUB) del 1993[4] dimostrava una forte sensibilità rispetto agli assetti di governo e al controllo dei rischi nelle imprese bancarie, prevedendo che la Banca d’Italia potesse emanare disposizioni di carattere generale aventi a oggetto:

• l’adeguatezza patrimoniale;
• il contenimento del rischio nelle sue diverse configurazioni;
• le partecipazioni detenibili;
• l’organizzazione amministrativa e contabile e i controlli interni.

In seguito alla riforma del diritto societario del 2003, la materia della governance è poi stata disciplinata più puntualmente dalla Banca d’Italia, che ha emanato disposizioni di carattere generale aventi a oggetto anche il governo societario.

Il problema principale affrontato da dette Disposizioni di vigilanza concerneva l’esigenza di applicare le medesime regole di vigilanza in presenza di configurazioni dell’organo amministrativo e di controllo variabili a seconda del modello di amministrazione prescelto da ciascuna banca (tradizionale, dualistico o monistico). La soluzione adottata è stata individuare all’interno di ciascun modello le funzioni aziendali cardine (supervisione strategica, gestione corrente, controllo) e riferire ad esse le regole connesse ai relativi compiti e responsabilità, piuttosto che differenziarle in base al modello di governance prescelto. E’ questo il metodo tuttora seguito dalla Circolare n. 285 del 2013 della Banca d’Italia (Parte Prima, Tit. IV[5]), che naturalmente ha tenuto conto anche delle prescrizioni frattanto dettate in materia dalla CRD.

Per assicurare il rispetto della normativa, il TUB riconosce all’Autorità di vigilanza numerosi poteri d’intervento, che comprendono, ai sensi dell’art. 53-bis, la possibilità di adottare provvedimenti specifici nei confronti dei soggetti vigilati per le materie indicate dall’art. 53. In particolare viene disciplinato il potere di:

• convocare gli amministratori, i sindaci e il personale delle banche;
• ordinare la convocazione degli organi collegiali delle banche, fissandone l’ordine del giorno e proponendo l’assunzione di determinate decisioni;
• procedere direttamente alla convocazione degli organi collegiali;
• adottare, ove la situazione lo richieda, provvedimenti specifici nei confronti di una o più banche riguardanti “anche”: l’imposizione di un requisito di fondi propri aggiuntivi; la restrizione delle attività o della struttura territoriale; il divieto di effettuare determinate operazioni, anche di natura societaria, di distribuire utili o di pagare interessi; la fissazione di limiti alla parte variabile della remunerazione o alla remunerazione complessiva degli esponenti aziendali (per le banche che beneficiano di interventi di sostegno pubblico);
• disporre, ove la loro permanenza in carica sia di pregiudizio per la sana e prudente gestione della banca, la rimozione di uno o più esponenti aziendali.

Quando tutte le ordinarie misure di vigilanza non sono risultate sufficienti, la Banca d’Italia può inoltre adottare misure di intervento precoce, che si sostanziano in provvedimenti di rimozione collettiva degli esponenti, di nomina di commissari in temporaneo affiancamento agli organi e di amministrazione straordinaria.

Va ricordato che analoghi poteri sono attribuiti anche alla BCE, per le banche più significative che rientrano nella sua vigilanza diretta ai sensi del regolamento UE 1024/2013 (istitutivo del Single Supervisory Mechanism)[6]. La BCE può infatti esercitare compiti specifici di vigilanza prudenziale sull’attività bancaria, applicando sia il diritto dell’Unione (in particolare quello risultante dal cd. pacchetto CRD-CRR), sia il diritto nazionale dei singoli Stati membri traspositivo delle direttive europee: può esercitare quindi, nei confronti delle banche italiane significant, anche tutti i poteri che il TUB attribuisce alla Banca d’Italia.

 

 

2.La disciplina di settore e il complesso coordinamento con il d.lgs. 231/2001

La sommaria ricostruzione che precede mostra come le banche siano soggette a una penetrante disciplina di settore, che investe anche profili relativi alla governance, tanto che le stesse sono state spesso definite come “società di diritto speciale”.

Al contempo, però, gli enti creditizi sono anche soggetti alle disposizioni applicabili alla generalità delle imprese in forma societaria. E anche la disciplina generale negli ultimi anni è stata molto attenta all’aspetto dell’adeguatezza dei controlli interni e degli assetti organizzativi: si pensi soltanto all’introduzione nell’art. 2086 c.c. dell’obbligo di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e dimensioni dell’impresa, funzionale alla prevenzione delle irregolarità e alla rilevazione tempestiva delle situazioni di crisi.

Nell’ambito della disciplina generale un ruolo peculiare è rivestito dal d.lgs. 8 giugno 2001, n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica), che come è noto prevede un regime di responsabilità degli enti per i reati commessi da soggetti apicali o dipendenti nell’interesse o a vantaggio dell’ente stesso.

Non è questa la sede per soffermarsi su una puntuale disamina della disciplina contenuta nel d.lgs. 231/2001, la quale tuttavia costituisce il presupposto per le riflessioni che seguono. Ciò che preme sottolineare sono invece le complesse relazioni intercorrenti tra la disciplina del settore bancario e quella inerente alla responsabilità da reato dell’ente contenuta, appunto, nel decreto 231; nella prospettiva di un efficace coordinamento tra i due plessi normativi, rileva il carattere pervasivo della normativa di settore che, come si è visto, coinvolge anche aspetti inerenti alla governance e ai controlli interni delle imprese bancarie.

Le due regolamentazioni certamente condividono l’obiettivo di fondo. Una sana gestione dell’impresa è presupposto e obiettivo della legal compliance ex d.lgs. 231/2001; ma la “sana e prudente gestione” è anche un obiettivo dell’azione delle Autorità di vigilanza bancaria.

L’art. 5 del TUB sancisce che “Le autorità creditizie esercitano i poteri di vigilanza a esse attribuiti dal presente decreto legislativo, avendo riguardo alla sana e prudente gestione dei soggetti vigilati, alla stabilità complessiva, all’efficienza e alla competitività del sistema finanziario nonché all’osservanza delle disposizioni in materia creditizia”.

Questa norma è stata concepita dal legislatore del TUB come una sorta di “clausola generale” che disciplina le finalità e impronta lo svolgimento di tutta l’attività di vigilanza bancaria. Ne deriva che detta attività deve essere volta a garantire non solo la stabilità del sistema attraverso una gestione prudente da parte delle banche (tenute al rispetto di precisi requisiti patrimoniali), ma anche una gestione sana, cioè in grado di prevenire le irregolarità ed evitare il coinvolgimento dell’ente in attività criminose.

Una gestione sana presuppone a sua volta il corretto funzionamento del governo societario, un’adeguata formalizzazione dei processi decisionali e l’individuazione di compiti e responsabilità. La particolare attenzione dedicata dalla regolamentazione bancaria ai profili di governance deriva dagli interessi pubblici in gioco. Infatti, come già accennato, eventuali irregolarità nell’attività bancaria, sia derivanti da condotte consapevoli o addirittura da legami con organizzazioni criminali, sia dovute invece a un involontario coinvolgimento dell’impresa, possono determinare ripercussioni notevoli sulla fiducia del pubblico e provocare crisi patrimoniali e finanziarie, propagandosi anche ad altri intermediari, assumendo rilevanza sistemica e riflettersi negativamente sull’economia reale.

 

 

3.Banche e gruppi bancari: sistema dei controlli interni e compliance

Proseguendo nell’esame della disciplina del settore bancario, possono segnalarsi altre previsioni rilevanti ai fini della ricerca delle interazioni e possibili sinergie con il d.lgs. 231/2001.

Ricordiamo in primo luogo che l’organo con funzioni di controllo[7] delle banche non può limitarsi ad esercitare i compiti previsti dal codice civile ma, ai sensi dell’art. 52 TUB, è chiamato a svolgere un ruolo di collegamento funzionale con l’Autorità di vigilanza, informandola “senza indugio” “di tutti gli atti o i fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l’attività bancaria”. A tal fine l’organo di controllo deve essere sempre dotato dei necessari poteri, “indipendentemente dal sistema di amministrazione e controllo adottato”.

Si riallaccia invece alla norma generale dell’art. 2403 c.c., e in particolare al dovere di vigilanza sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile, la previsione delle già menzionate Disposizioni di vigilanza sul governo societario, secondo cui il collegio sindacale (o l’organo che esercita le funzioni corrispondenti) è parte integrante del complessivo sistema di controllo interno e vigila sulla sua funzionalità[8].

Le Disposizioni dedicano poi un intero capitolo alla struttura del sistema dei controlli interni[9], sottolineandone il “ruolo centrale” e il “rilievo strategico” e delineandone tre tipologie:

• controlli di primo livello (“controlli di linea”);
• controlli di secondo livello (“controlli sui rischi e la conformità”);
• controlli di terzo livello (“revisione interna”).

La funzione di compliance rientra tra i controlli di secondo livello che tutte le banche e i gruppi bancari debbono istituire[10]. Le finalità sottese a tale funzione sono ravvisate dalle Disposizioni di vigilanza nella conformità dell’attività alla legge, alla normativa di vigilanza, ai regolamenti interni, nonché nella prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite.

Per operare adeguatamente, secondo le Disposizioni di vigilanza la funzione di compliance deve:

• essere indipendente dalle altre funzioni aziendali;
• essere dotata di risorse e competenze adeguate;
• avere accesso a tutte le informazioni;
• essere alle dirette dipendenze dell’organo di supervisione strategica.

La definizione del campo di azione della compliance bancaria riveste interesse anche ai fini della relazione con la disciplina del d.lgs. 231. Nell’ottica dell’Autorità di vigilanza, infatti, il ‘perimetro’ della compliance copre il rischio di mancato adeguamento a tutte le disposizioni applicabili alle banche: per quelle che riguardano più da vicino l’esercizio dell’attività bancaria e di intermediazione (come la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela, la disciplina a tutela del consumatore), la funzione di compliance è direttamente ed esclusivamente responsabile della gestione del rischio di non conformità; tuttavia anche per le normative già soggette a forme di presidio specializzate (ad es. sicurezza sui luoghi di lavoro, trattamento dei dati personali, disposizioni tributarie) è previsto il suo coinvolgimento, in forma semmai meno intensa, ma mai assente[11].

In definitiva, secondo le Disposizioni di vigilanza l’interessamento e la responsabilità della funzione di compliance devono essere proporzionali al rilievo che le singole norme hanno per l’attività bancaria e alle conseguenze della loro violazione.

Attraverso la prevenzione del rischio del mancato adeguamento alle norme, la funzione di compliance nelle banche protegge certamente l’impresa, evitando di farla incorrere in sanzioni, danni reputazionali e perdite, ma finisce anche per tutelare interessi esterni all’impresa stessa, promuovendo una cultura della legalità e della responsabilità d’impresa che si riallaccia in definitiva alle finalità del d.lgs. 231/2001.

 

 

4.Il d.lgs. 231/01 nei gruppi bancari e le sanzioni interdittive.

Difficoltà di coordinamento tra disciplina di settore e d.lgs. 231/2001 potrebbero essere rilevate per alcuni specifici aspetti.

Un primo problema riguarda l’applicazione della disciplina della responsabilità da reato degli enti nei gruppi bancari. In proposito è necessaria una premessa: il gruppo considerato e disciplinato dalla normativa bancaria è diverso dal gruppo come fenomeno economico, cui sono riferite le norme del codice civile sull’attività di direzione e coordinamento. La normativa bancaria delinea infatti un perimetro artificiale del gruppo, all’interno del quale vengono ricomprese soltanto le società bancarie, finanziarie e strumentali, e lo costruisce come una struttura piramidale, atta a garantire una direzione unitaria forte. La capogruppo deve infatti svolgere la funzione di referente dell’Autorità di vigilanza, ricoprendo un ruolo di ‘cinghia di trasmissione’ tra quest’ultima e le società del gruppo, sia per comunicare alla Vigilanza tutte le informazioni relative al gruppo, sia per trasmettere alle singole società le indicazioni della Vigilanza stessa.

Questa connotazione fortemente gerarchica del gruppo è ancora più accentuata nell’ambito del cd. gruppo bancario cooperativo, disciplinato dal contratto di coesione previsto dall’art. 37-bis TUB.

La direzione unitaria ‘rafforzata’ che caratterizza questi modelli di aggregazione giustifica una ‘risalita’ della responsabilità da reato dalle singole società del gruppo alla capogruppo? La risposta in realtà non può che essere negativa (salva, ovviamente, la dimostrazione di uno specifico coinvolgimento della capogruppo). L’esistenza di una direzione ‘forte’ da parte della capogruppo è infatti funzionale esclusivamente allo svolgimento della vigilanza consolidata; in altri ambiti, come quello della responsabilità da reato degli enti, le responsabilità della capogruppo e degli amministratori delle società del gruppo vanno valutate secondo i canoni del diritto comune.

Un secondo snodo problematico dei rapporti tra disciplina generale sulla responsabilità da reato degli enti e disciplina di settore riguarda il tema delle sanzioni interdittive previste dal d.lgs. 231, che possono implicare la brusca sospensione o interruzione dell’attività d’impresa.

L’esigenza di bilanciare l’idoneità a prevenire illeciti delle sanzioni nei confronti degli enti con i possibili effetti pregiudizievoli delle stesse sull’occupazione e l’economia è un problema di carattere generale[12]. Per le banche vige però una disciplina speciale, che tiene conto delle possibili implicazioni sistemiche delle crisi bancarie e affida all’Autorità di vigilanza di settore la gestione di eventuali procedure straordinarie.

L’art. 97 TUB, che rappresenta pressocché l’unica ipotesi in cui il TUB prende espressamente in considerazione il d.lgs. 231/2001, prevede infatti – oltre a talune norme volte a valorizzare lo scambio informativo tra Autorità giudiziaria e di Vigilanza – che le sanzioni interdittive previste dall’art. 9, co. 2, lett. a) e b) del d.lgs. 231/2001 siano sostituite dalle misure tipiche della gestione della crisi bancarie previste dal titolo IV del TUB e adottate dall’Autorità di vigilanza. Questa disciplina ad hoc non costituisce un trattamento di favore, ma risponde alla necessità di tener conto delle esigenze di stabilità del sistema finanziario e di tutela dei depositanti e della clientela.

 

 

5.L’attuazione del d.lgs. 231/2001 nelle banche

Le banche sono interessate alla prevenzione dei reati sotto vari profili: come imprese (si pensi ai reati concernenti la salute e sicurezza sul lavoro e l’ambiente), come società (ad esempio con i reati di false comunicazioni sociali o di falso in prospetto), e infine in ragione dell’attività svolta, con riferimento ai reati la cui commissione è statisticamente più probabile all’interno di una banca.

Le Linee guida elaborate dall’ABI nel 2004 hanno individuato alcuni settori in cui sussiste maggiormente il rischio della commissione dei cd. reati peculiari[13]:

• gestione di fondi pubblici e attività in concessione (tesoreria, riscossione tributi, attività di erogazione di crediti di scopo, speciali o agevolati);
• attività di sportello e messa in circolazione di valori;
• attività di finanziamento in senso ampio.

Ma occorre menzionare anche il rilevante rischio di commissione dei reati di ostacolo all’attività di vigilanza (art. 2638 c.c.), sintomo di grave violazione del principio di sana e prudente gestione, e del concorso in reati con finalità di usura e riciclaggio.

A fronte di tali rischi, l’articolato sistema dei controlli interni prescritto dalle Disposizioni di vigilanza per le banche, unito alla procedimentalizzazione delle attività e dei processi decisionali, sembrerebbe consentire già una efficace prevenzione dei reati, senza escludere però l’esigenza di ulteriori presidi alla luce del d.lgs. 231/2001.

Ma come, in concreto, il sistema bancario ha recepito le indicazioni provenienti dalla disciplina della responsabilità da reato degli enti?

La funzione legale della Banca d’Italia tra il 2022 e il 2023 ha partecipato ad una ricerca coordinata dal prof. Stefano Manacorda e dal prof. Francesco Centonze, conducendo una specifica indagine volta a verificare quante banche avessero deciso di adottare il modello di organizzazione e gestione previsto dal d.lgs. 231/2001 (MOG), e in che modo esso fosse stato strutturato[14]. All’indagine hanno risposto più della metà delle banche coinvolte; dai dati raccolti è emerso che:

• oltre il 50% delle banche ha scelto di adottare un MOG, cercando peraltro di realizzare un coordinamento tra i presidi aziendali di gestione dei rischi con le regole di prevenzione ex lgs. 231;
• gran parte delle banche che hanno adottato un MOG lo considera inserito nel più ampio quadro del sistema dei controlli interni;
• tra le banche che non hanno adottato il MOG, solo alcune hanno dichiarato di ritenere sufficienti i presidi già esistenti.

Pur essendo pienamente legittima, la scelta di non adottare un MOG, in presenza di uno dei reati presupposto previsti dal catalogo del d.lgs. 231/2001, potrebbe esporre la banca, insieme a tutte le altre condizioni necessarie per procedere all’accertamento della responsabilità dell’ente, al rischio di valutazioni negative in un eventuale giudizio. Sicché la valutazione che ciascuna banca è chiamata a compiere deve tenere conto della situazione concreta in cui essa opera e della solidità dei presidi già esistenti, operando un bilanciamento tra costi e benefici.

 

 

6.Il ruolo dell’OdV e il coordinamento delle funzioni di controllo nelle banche

La ricerca svolta dalla funzione legale della Banca d’Italia si concentrava anche sulla composizione dell’Organismo di vigilanza (OdV) nelle banche che hanno attuato le previsioni dell’art. 6 del d.lgs. 231. Va tenuto presente che, al riguardo, le indicazioni provenienti dalle varie fonti normative sono contrastanti:

• le Linee guida ABI del 2004 sconsigliavano espressamente l’affidamento delle funzioni di OdV al collegio sindacale, proprio in ragione delle caratteristiche di indipendenza che dovrebbero connotare l’Organismo;
• l’ 6, comma 4-bis, del d.lgs. 231/2001, al fine di semplificare la struttura dei controlli nelle realtà meno complesse, ammette (dal 2011) che l’organo con funzioni di controllo possa svolgere le funzioni di OdV[15];
• le Disposizioni di vigilanza della Banca d’Italia prevedono che l’organo con funzioni di controllo svolga, “di norma”, le funzioni dell’OdV, ove istituito; e che “le banche possano affidare tali funzioni a un organismo appositamente istituito [solo] dandone adeguata motivazione”[16].

L’affidamento delle funzioni di OdV all’organo di controllo presenta in realtà possibili controindicazioni: infatti i due organi sono ontologicamente differenti, così come diverse sono le professionalità richieste e le modalità di nomina e revoca rispettivamente previste.

Potrebbe inoltre emergere un conflitto di interessi, considerato che l’organo di controllo partecipa ad attività in cui non è remoto il rischio di commissione di alcuni dei reati presupposto (ad es. reati societari).

Dall’indagine condotta dai legali della Banca d’Italia è emerso che le banche hanno scelto di attribuire le funzioni tipiche dell’OdV all’organo di controllo nel 60% dei casi. Altre banche e gruppi bancari hanno optato invece per organi ad hoc, monocratici o collegiali (con membri tutti esterni o a composizione mista).

Nelle banche che hanno provveduto alla sua istituzione, l’OdV si inserisce nel lungo elenco di organi e funzioni aziendali investiti a vario titolo di compiti di controllo (oltre a quelli già menzionati, vanno compresi il comitato rischi, il comitato nomine, il comitato remunerazioni e, per banche quotate, il dirigente preposto alla redazione dei documenti contabili (art. 154-bis TUF).

Le Disposizioni di vigilanza prendono atto del rischio di sovrapposizione tra organi e funzioni di controllo e, con l’intento di “assicurare una corretta interazione tra tutte le funzioni e organi con compiti di controllo, evitando sovrapposizioni o lacune”, chiedono all’organo con funzione di supervisione strategica di approvare un apposito documento di coordinamento[17].

E’ da notare che il paragrafo dedicato all’esigenza di coordinamento rappresenta una delle rare occasioni in cui le Disposizioni di vigilanza menzionano gli istituti previsti dal d.lgs. 231, osservando che “nell’attività dell’organismo di vigilanza, che attiene in generale all’adempimento di leggi e regolamenti, può essere proficuo uno stretto raccordo, in termini sia di suddivisione di attività che di condivisione di informazioni, con le funzioni di conformità alle norme e di revisione interna”.

 

 

7.Un caso giurisprudenziale

Per concludere la nostra analisi, può essere interessante soffermarsi su un caso giurisprudenziale riguardante la responsabilità da reato di una banca.

Partendo dalla ricostruzione delle vicende concrete che hanno dato origine al giudizio, ricordiamo che i fatti oggetto di contestazione riguardavano finanziamenti ai clienti volti a favorire l’acquisto di azioni proprie sul mercato (accompagnati dal rilascio di impegni al riacquisto delle azioni o garanzie di rendimento dei titoli), la diffusione di notizie false, e l’occultamento delle operazioni e altre omissioni informative alla Vigilanza. L’aumento di capitale fittizio così realizzato ha determinato, una volta emerso, un impatto patrimoniale negativo per circa 1,3 mld.; il piano di risanamento ipotizzato non è andato a buon fine e la banca è stata dichiarata in dissesto e posta in liquidazione coatta amministrativa[18], con necessità di aiuti di Stato e perdite per azionisti e possessori di titoli subordinati.

Le condotte illecite erano state commesse nell’interesse o a vantaggio dell’ente; da qui la contestazione della responsabilità anche in capo alla banca ai sensi del d.lgs. 231/2001.

I reati presupposto contestati erano:

• aggiotaggio informativo e manipolativo (art. 2637 c.c.), per il mantenimento fittizio del valore dell’azione e l’affidamento riposto dal pubblico nella stabilità patrimoniale della banca;
• ostacolo all’attività di vigilanza (art. 2638 c.c.), con condotte che avevano consentito sia l’ottenimento dell’autorizzazione alla classificazione delle azioni emesse come “strumenti di capitale di classe 1”, con conseguente apparente rafforzamento patrimoniale derivante dall’operazione di aumento di capitale, sia la prosecuzione dell’attività bancaria in assenza degli interventi delle Autorità di vigilanza che sarebbero stati necessari.

La giurisprudenza, in entrambi i gradi di merito[19], ha riconosciuto la responsabilità della banca, sebbene l’interesse o vantaggio che essa aveva ottenuto dai comportamenti illeciti fosse stato soltanto temporaneo (avendone in ultima analisi subito conseguenze pregiudizievoli, sfociate nella liquidazione coatta amministrativa). In parziale accoglimento dell’appello dell’ente, l’attuale situazione di dissesto è stata tuttavia tenuta in considerazione ai fini della determinazione della misura della sanzione pecuniaria[20]. Infine, la Cassazione si è recentemente pronunciata all’esito dell’udienza dell’8 aprile 2025, ma la sentenza non è ancora nota.

 

 

8.Considerazioni conclusive: sovrapposizioni, convergenze e prospettive

La disciplina di vigilanza bancaria ha anticipato sia le riforme del codice civile, che negli artt. 2381 e 2403 e da ultimo nell’art. 2086 ha sottolineato l’importanza degli “adeguati assetti”, sia l’impostazione seguita dal d.lgs. 231/2001, che ha conferito rilievo al rischio da mancato adeguamento normativo. La regolamentazione bancaria ha infatti sempre considerato cruciali i controlli interni, e in particolare la funzione di compliance, quali strumenti fondamentali per la prevenzione dei rischi operativi, legali e reputazionali.

Ma i rapporti tra la disciplina comune alla generalità delle imprese e le norme di settore, che pure insistono sulle stesse tematiche, sono limitati e non prevedono, salve sporadiche eccezioni, un reciproco coordinamento.

La normativa di settore dimostra (con l’eccezione dell’art. 97-bis TUB) scarsa attenzione al tema della responsabilità da reato degli enti, limitandosi a fornire scarne indicazioni (derogabili) per l’eventuale istituzione dell’OdV e non includendo i MOG tra la documentazione che deve essere analizzata per ragioni di vigilanza. Il d.lgs. 231/2001, a sua volta, non prevede un puntuale raccordo con la specifica disciplina di settore, ma solo disposizioni di coordinamento di carattere generale[21].

La coesistenza di presidi disciplinati da plessi normativi non armonizzati tra loro comporta il rischio di sovrabbondanza degli organi e di sovrapposizioni tra i compiti. Il rischio sarebbe ridimensionato se la compliance bancaria fosse in grado di coprire tutti i rischi derivanti dal mancato adeguamento normativo, indipendentemente dall’oggetto della disciplina, senza focalizzarsi esclusivamente sui rischi derivanti dall’attività tipica del settore.

Sul punto, le Disposizioni di vigilanza sembrano adottare una soluzione intermedia. Da una parte, come già osservato, sanciscono che la funzione di compliance copre il rischio di non adeguamento a tutte le disposizioni applicabili alle banche; dall’altra però prevedono una graduazione dei suoi compiti, laddove siano già presenti forme di presidio ad hoc. In queste ipotesi, il coinvolgimento della compliance può essere meno intenso: ma sembra, allora, riespandersi l’esigenza di presidi che possano uniformemente interessare tutte le aree di rischio.

Come affermato da una recente pronuncia del Tribunale di Milano[22] il MOG “rappresenta, in realtà, un sottoinsieme rispetto al sistema di controllo interno”, con una specifica finalità di prevenzione dei rischi di commissione dei reati presupposto ex d.lgs. 231/2001: gli obiettivi delle rispettive discipline sono dunque non coincidenti, ma potrebbe dirsi che il rischio di reato si inquadra nel perimetro della compliance, rispetto alla quale costituisce una species.

In questa prospettiva, va considerato che anche il rischio connesso alla mancata adozione dei presidi ex d.lgs. 231/2001 rappresenta per le banche un rischio operativo e, come tale, dovrebbe essere incluso tra quelli monitorati dalla compliance.

Sul punto, le Linee guida ABI 2004 suggerivano di valutare la necessità di interventi di adeguamento al d.lgs. 231/2001 (non in astratto ma) in relazione all’idoneità dei presidi già esistenti, bilanciando costi e benefici.

Anche la giurisprudenza è generalmente concorde nel ritenere che debba essere effettuata una valutazione in concreto che tenga in considerazione le dimensioni dell’impresa, l’attività svolta, i fattori ambientali, e tutti i presidi già esistenti. Ma non può escludersi che, nelle singole fattispecie, la giurisprudenza valorizzi negativamente l’assenza (o inidoneità) di un MOG e la mancata istituzione dell’OdV, non seguendo strettamente un criterio di equivalenza funzionale dei presidi già esistenti. Questa eventualità fa sì che, per le imprese medio-grandi o quando (in relazione all’attività svolta o a fattori ambientali) il rischio è particolarmente elevato, l’adozione del MOG possa anche essere considerata come un obbligo, piuttosto che come un onere.

Più in generale, le banche sembrano orientate ad adottare un sistema di compliance integrata, con riguardo alle procedure e agli organi competenti. Seguendo questa impostazione, è possibile anche gestire i controlli in maniera integrata, individuando preliminarmente gli elementi comuni ai diversi sistemi di controllo (definizione del perimetro, analisi dei rischi, attività di monitoraggio e controllo, misure di mitigazione del rischio e di rimedio); in questo scenario, il MOG può essere considerato alla stregua di una raccolta ragionata e completa dei presidi di conformità, tarata sulle specificità aziendali, e l’OdV può rappresentare una possibile integrazione del sistema dei controlli interni, operata anche avvalendosi di organi e funzioni già presenti.

[1] Direttiva 2013/36/UE del 26 giugno 2013, Capital Requirements Directive (CRD IV), e successivi aggiornamenti.

[2] Regolamento (UE) n. 575/2013 del 26 giugno 2013, Capital Requirements Regulation (CRR), e successivi aggiornamenti.

[3] Le fonti europee a loro volta riprendono il contenuto di accordi internazionali, in particolare dei cd. accordi di Basilea, definiti nel corso del tempo dal Comitato di Basilea per la vigilanza bancaria, il cui scopo è definire gli standard internazionali per la regolamentazione prudenziale del settore bancario, per rafforzare la vigilanza e le prassi a livello globale e accrescere la stabilità finanziaria.

[4] D.lgs. 1° settembre 1993, n. 385, Testo unico delle leggi in materia bancaria e creditizia, più volte successivamente modificato e integrato.

[5] Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013,  https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio/norme/circolari/c285/Circ_285_Testo_integrale_al_49_aggto.pdf.

[6] Regolamento (UE) n. 1024/2013 del Consiglio del 15 ottobre 2013 che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi.

[7] Compiti di controllo sono affidati, come è noto, al collegio sindacale, nel modello tradizionale; al consiglio di sorveglianza, in quello dualistico; al comitato per il controllo sulla gestione, in quello monistico.

[8] Cfr. Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013, cit., Parte prima, Titolo IV, Cap. 1, Sez. III, par. 3.

[9] Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013, cit., Parte prima, Titolo IV, Cap. 3.

[10] Altri rilevanti compiti sono svolti dalla funzione di controllo dei rischi (Risk management) e dalla revisione interna (Internal audit).

[11] Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013, cit., Parte prima, Titolo IV, Cap. 3, Sez. III, par. 3.2.

[12] Cfr. l’art. 15 del d.lgs. 231/2001 e gli altri interventi per gli stabilimenti di interesse strategico nazionale di cui al d.l. 5 gennaio 2023, n. 2, conv. in l. 3 marzo 2023, n. 17.

[13] Cfr. Associazione Bancaria Italiana, Linee Guida per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche, Roma, 2004.

[14] O. Capolino, E. Consigliere, L. Droghini, G. Neri, L’applicazione del d.lgs. 231/2001 nel settore bancario: rilevazione empirica e profili giuridici, in Verso una riforma della responsabilità da reato degli enti. Dato empirico e dimensione applicativa, a cura di F. Centonze e S. Manacorda, Bologna 2023; i risultati della ricerca sono stati pubblicati anche, in forma più estesa, in Banca d’Italia, Regole di settore, compliance e responsabilità da reato; l’applicazione del d.lgs. n. 231/2001 alle società bancarie, a cura di O. Capolino, Quaderno di ricerca giuridica n. 97, Roma, maggio 2023, https://www.bancaditalia.it/pubblicazioni/quaderni-giuridici/2023-0097/qrg_97.pdf.

[15] Previsione introdotta dall’art. 14 della legge 12 novembre 2011, n. 183 (legge di stabilità 2012).

[16] Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013, cit., Parte prima, Titolo IV, Cap. 3, Sez. II, par. 4.

[17] Banca d’Italia, Disposizioni di vigilanza per le banche, Circolare n. 285 del 13 dicembre 2013, cit., Parte prima, Titolo IV, Cap. 3, Sez. II, par. 5.

[18] La banca, secondo le regole europee sulle crisi bancarie (direttiva 2014/59/UE e regolamento UE  806/2014, istitutivo del Single Resolution Mechanism), era stata dichiarata failing or likely to fail dalla BCE; non essendo stata considerata dal Single Resolution Board meritevole di essere sottoposta alla procedura di risoluzione, era quindi stata posta in liquidazione coatta amministrativa dalla Banca d’Italia.

[19] Trib. Vicenza, sez. pen., 17 giugno 2021, n. 348, https://www.giurisprudenzapenale.com/wp-content/uploads/2021/06/sentenza-banca-popolare-vicenza.pdf; Corte App. Venezia, 4 gennaio 2023, n. 3348, https://www.giurisprudenzapenale.com/wp-content/uploads/2023/01/corte-app-bpvi.pdf.

[20] La Cassazione aveva frattanto rimesso alla Corte Costituzionale la questione del carattere sproporzionato della confisca per equivalente in quanto non limitata al profitto del reato. La Consulta si è pronunciata con sentenza n. 7 del 4 febbraio 2025, dichiarando l’illegittimità costituzionale dell’art. 2641 c.c., nella parte in cui prevede la confisca per equivalente dei beni utilizzati per commettere il reato.

[21] Cfr. gli artt. 83 e 84 del d.lgs. 231/2001.

[22] Trib. Milano, sez. II penale, 22 aprile 2024, n. 1070,  https://www.giurisprudenzapenale.com/wp-content/uploads/2024/05/milano-ii-sez-231.pdf.