Le internal investigations costituiscono oggi uno strumento centrale nella gestione dei rischi aziendali e nel quadro complessivo della corporate governance. Sebbene il loro contenuto operativo possa talvolta sovrapporsi a quello delle indagini difensive, è necessario premettere che si tratta di istituti concettualmente distinti: le indagini interne, infatti, rispondono a esigenze proprie dell’ente e della sua struttura di governance, mentre le indagini difensive attengono alla sfera strettamente processuale-penale.
1.Corporate governance e doveri degli organi sociali
Il punto di partenza è rappresentato dalla struttura della corporate governance e dai doveri che il Codice civile attribuisce agli amministratori. Le norme in materia di governance societaria e di obblighi organizzativi, informativi e di vigilanza gravanti sull’organo gestorio – tra cui, ad esempio, gli artt. 2086, 2381, 2391 e 2392 c.c. – delineano un complesso di doveri funzionali a garantire una gestione diligente, informata e orientata al perseguimento dell’interesse sociale e alla tutela dell’integrità dell’impresa.
Il perseguimento dell’interesse sociale, benché concetto apparentemente ovvio, assume nella prassi un rilievo cruciale: le indagini interne sorgono tipicamente in contesti in cui il regolare funzionamento dell’impresa è venuto meno, non solo per fatti penalmente rilevanti, ma anche per violazioni di procedure interne o per condotte suscettibili di generare rischi di natura disciplinare o reputazionale.
A ciò si aggiunge il tema degli assetti organizzativi, reso particolarmente incisivo dall’art. 2086, co.2, c.c. il quale sancisce che «l’imprenditore […] ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa […]».
In un’ottica penalistica, gli assetti organizzativi richiamano inevitabilmente il modello organizzativo ex d.lgs. 231/2001, ma il concetto ha una portata ben più ampia: esso implica, tra l’altro, la corretta allocazione delle funzioni legali, di compliance e di internal audit, nonché la definizione dei flussi informativi interni.
Il generale dovere di agire informati, disciplinato dall’art. 2381, co 5, c.c., e il correlato dovere di intervento degli amministratori rappresentano i fondamenti logico-giuridici che giustificano l’avvio di un’investigazione interna: l’organo amministrativo non può intervenire efficacemente laddove non sia messo nella condizione di conoscere ciò che è accaduto.
2.Focus sulle società quotate: le disposizioni rilevanti
Nelle società quotate il tema si accentua, in ragione della particolare frammentazione della compagine sociale e della conseguente maggiore esposizione al mercato. Oltre al Codice civile rilevano le disposizioni del Testo unico della finanza (d.lgs. 24 febbraio 1998, n.58) e, per le società che decidano di aderirvi, il Codice di Corporate Governance, adottato dal Comitato per la Corporate Governance e qualificabile come norma di soft law.
Quest’ultimo – emendato anche per tenere conto dell’allarme sociale legato a indagini penali che hanno riguardato alcune grandi imprese, anche quotate – introduce una disciplina articolata sui sistemi di controllo interno e di gestione dei rischi, prevedendo che sia il Consiglio di amministrazione in composizione plenaria a definirne le linee di indirizzo. Si tratta di un elemento essenziale: l’architettura degli gli strumenti per l’individuazione e la gestione dei rischi non è delegata agli amministratori esecutivi, ma rimane prerogativa dell’intero organo amministrativo.
Particolarmente significativo è il ruolo attribuito al Comitato controllo e rischi, composto da amministratori indipendenti. Secondo la Raccomandazione 35, il Comitato:
- esprime pareri sui principali rischi aziendali;
- assiste il Consiglio nelle decisioni relative alla gestione di rischi derivanti da eventi pregiudizievoli, espressione che trova corrispondenza nella terminologia del Codice civile.
La pratica evidenzia che, nelle investigazioni interne delle maggiori società italiane, il Comitato controllo e rischi rappresenta spesso l’organo di riferimento per la scelta dei professionisti incaricati e per il monitoraggio dell’intero processo investigativo.
3.Le ragioni dell’indagine interna
L’avvio di un’investigazione interna risponde essenzialmente al dovere di agire informati. La necessità di acquisire una conoscenza chiara e tempestiva dei fatti può derivare da stimoli eterogenei, tra i quali:
- l’intervento dell’autorità giudiziaria (ad esempio mediante perquisizione);
- una segnalazione interna (whistleblowing);
- notizie di stampa potenzialmente idonee a incidere sul valore azionario o sulla reputazione dell’impresa;
- anomalie rilevate dai sistemi di controllo.
In presenza di tali elementi, l’inerzia dell’organo amministrativo può integrare un inadempimento dei doveri gestori, esponendo gli amministratori a responsabilità personali di natura civile: in particolare, alla responsabilità verso la società, prevista dall’art. 2392 c.c., nonché – ove il comportamento abbia arrecato un danno a creditori o a terzi – alla responsabilità verso i creditori sociali ex art. 2394 c.c. e, nei casi più gravi, alla responsabilità verso i terzi ex art. 2395 c.c..
Sul piano penalistico, inoltre, l’indagine interna consente di raccogliere tempestivamente elementi conoscitivi utili per eventuali scelte difensive dell’ente, nonché per individuare misure correttive o organizzative idonee a prevenire future contestazioni.
4.Scelta del modello investigativo: interno o esterno?
Una volta deliberata la necessità dell’indagine, l’organo amministrativo deve scegliere se condurla tramite strutture interne (internal audit, compliance) oppure affidarla a soggetti esterni.
4.1 Indagine condotta da funzioni interne
Le funzioni interne presentano vantaggi evidenti, in quanto dispongono di una profonda conoscenza del business e dei processi aziendali, operano con un minore impatto psicologico sui dipendenti coinvolti e comportano, di regola, costi inferiori rispetto a soluzioni esterne. In particolare, le strutture che rientrano nel sistema di controllo interno della società svolgono attività di terzo livello, come l’internal audit, oppure di secondo livello, come le funzioni di compliance, contribuendo così a garantire un controllo più efficace, mirato e coerente con l’organizzazione aziendale.
Tuttavia, non sempre le funzioni interne dispongono delle competenze tecniche o degli strumenti necessari, soprattutto in caso di indagini complesse, che richiedano attività forense o analisi informatiche avanzate.
4.2 Indagine affidata a professionisti esterni
Il ricorso a professionisti esterni – avvocati, consulenti forensi, società specializzate – rafforza l’indipendenza dell’investigazione. Ciò è particolarmente rilevante poiché il personale interno, anche se appartenente a funzioni dotate di garanzie di autonomia (ad esempio nel settore bancario), rimane formalmente inserito nella struttura gerarchica.
L’intervento di un soggetto terzo:
- aumenta la credibilità dell’investigazione verso il mercato e gli stakeholders;
- riduce il rischio di conflitti di interesse;
- consente, in parte, di beneficiare delle garanzie di segreto professionale proprie della consulenza legale.
In Italia non esiste un vero e proprio ‘‘legal privilege” – inteso, nei sistemi anglosassoni, come la protezione assoluta della riservatezza delle comunicazioni tra avvocato e cliente, sottratte all’acquisizione e all’utilizzo in giudizio – assimilabile ai modelli anglosassoni, ma il coinvolgimento di un legale esterno garantisce comunque un più elevato livello di tutela, soprattutto nella prospettiva di un eventuale confronto con l’autorità giudiziaria.
5.Rapporti con l’autorità giudiziaria e gestione del personale coinvolto
Uno snodo particolarmente delicato riguarda la presenza o meno di un’indagine penale già avviata.
Nel caso in cui vi sia un procedimento pendente, la prassi suggerisce di informare preliminarmente il pubblico ministero dell’intenzione di svolgere un’investigazione interna, al fine di evitare fraintendimenti sulla finalità delle attività istruttorie e sulla gestione della documentazione rilevante.
In tali contesti, inoltre, la possibilità di sentire il dipendente sospettato può risultare limitata o inesistente, poiché questi, assistito dal proprio difensore, sceglierà prioritariamente di tutelare la propria posizione penale.
Diversa è la situazione in assenza di un’indagine della magistratura: in tal caso, la raccolta delle informazioni segue un percorso graduale, che inizia tipicamente dall’analisi documentale e dall’ascolto di soggetti estranei ai fatti, per poi avvicinarsi progressivamente ai profili più sensibili. In tali ipotesi l’obiettivo dell’impresa è spesso di natura disciplinare, più che penalistica.
6.Privacy, diritto del lavoro e limiti dell’attività investigativa
Le indagini interne richiedono particolare attenzione ai profili di privacy e di diritto del lavoro. L’accesso alle email aziendali, ai dispositivi elettronici, ai log informatici e alle altre fonti di prova digitale deve avvenire nel rispetto del GDPR, delle linee guida del Garante e della disciplina sui controlli a distanza dei lavoratori.
La violazione di tali limiti può compromettere la validità dell’investigazione e comportare responsabilità per l’ente.
7.Considerazioni conclusive
Le internal investigations rappresentano oggi uno strumento essenziale di ‘buona governance’. Esse consentono all’organo gestorio di adempiere ai propri doveri di gestione informata, di prevenzione dei rischi e di tutela dell’integrità aziendale.
La scelta tra modello interno o esterno, così come la struttura dell’indagine, deve essere calibrata caso per caso, tenendo conto della natura dei fatti, dell’eventuale presenza di indagini penali, delle competenze interne disponibili e dell’esigenza di assicurare indipendenza, credibilità e rispetto delle normative applicabili.
Le esperienze internazionali mostrano approcci più incisivi – spesso fondati su un robusto sistema di legal privilege – mentre in Italia prevale un modello più prudente, in cui l’indagine interna si inserisce come strumento di compliance e di tutela dell’ente all’interno del quadro normativo e giurisprudenziale vigente.