La responsabilità delle Società - per i casi in cui determinate fattispecie di reato vengano commesse nel loro interesse o a loro vantaggio (c.d. criminal corporate liability) è stata introdotta per la prima volta nell’ordinamento giuridico italiano dal Decreto Legislativo 8 giugno 2001, n. 231. Si tratta di una responsabilità che va ad aggiungersi a quella della persona fisica che ha materialmente realizzato il fatto illecito e che mira a coinvolgere nella punizione anche il patrimonio degli enti e, in definitiva, gli interessi economici dei soci.

Come può tutelarsi una Società?

L’Art. 6 del D. Lgs. 231/2001 prevede che una Società possa andare esente da responsabilità nel caso in cui, nell’ambito di un procedimento penale instaurato nei suoi confronti per uno dei reati previsti dal D.lgs 231/2001, la stessa dimostri di aver adottato ed efficacemente attuato, prima della commissione del fatto stesso, un Modello di organizzazione, gestione e controllo (c.d. MOG) idoneo a prevenire la realizzazione di illeciti penali della medesima specie di quello verificatosi.

Quali requisiti deve possedere il MOG perché la Società possa andare esente da responsabilità?

Il dettato normativo è parco di informazioni che, pertanto, sono state elaborate soprattutto dalla giurisprudenza.

Sul tema, è di recente intervenuto il Tribunale di Milano che, con sentenza del 25 gennaio 2024 (n. 1070), non solo ha dichiarato l’efficacia esimente del MOG adottato da una società cui era stato contestato il reato ex Art. 25 ter D.lgs 231/2001 - decretando così il definitivo superamento di quella logica, diffusa in giurisprudenza, secondo cui un modello è inidoneo per il solo fatto che un reato sia stato commesso - ma ha altresì fornito alcune importanti indicazioni su “quello che dovrebbe essere il contenuto di un modello 231 efficacemente strutturato”.

Vediamole insieme.

• Modello 231: la Parte Generale

La Parte Generale del MOG, come chiarito dal Tribunale di Milano nella sentenza in esame, è volta a individuare la fisionomia strutturale del Modello ed è pertanto opportuno che la stessa contenga al proprio interno una serie di elementi:

• il Codice Etico che rappresenta la tavola dei valori e dei principi cui una società si ispira nella propria operatività quotidiana;
• le linee dell’attività di informazione e formazione del Modello e dei protocolli di prevenzione. Il MOG, per essere idoneo ed efficace, deve necessariamente essere accompagnato da un’intensa, continua e qualificata attività di formazione - rivolta a tutto il personale - volta a divulgare e implementare la conoscenza e comprensione - da parte della popolazione aziendale - del Modello 231, del Codice Etico, delle procedure e delle regole di comportamento da adottare;
• le modalità di scoperta delle violazioni del Modello;
• il sistema disciplinare previsto per sanzionare le eventuali violazioni delle misure indicate nei protocolli operativi;
• l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza (OdV). Come condivisibilmente evidenziato dai Giudici di Milano, l’OdV riveste un ruolo di primo piano nell’assetto normativo del D.Lgs 231/2001 in quanto il Modello 231 – che è espressione di un insieme articolato e proceduralizzato di cautele preventive - rischierebbe di vedere vanificata la propria funzione laddove non fosse affiancato da uno strumento di controllo autonomo e indipendente, quale appunto l’OdV, chiamato a esprimere una valutazione in termini di adeguatezza, continuità e intensità del Modello nella prevenzione del rischio di reato.

• Modello 231: la Parte Speciale

La Parte Speciale rappresenta certamente il cuore del Modello 231 e proprio per tal ragione, come rilevato dal Tribunale di Milano nella sentenza in commento, è bene che contenga:

1. l’individuazione delle attività al cui espletamento è maggiormente connesso il rischio di commissione di uno dei reati previsti dal D.Lgs 231/2001, con l’indicazione dei ruoli aziendali coinvolti in detti processi sensibili e la valutazione del grado di efficacia nella prevenzione del rischio reato dei sistemi operativi e di controllo già adottati dalla società;
2. la formalizzazione dei “Protocolli di prevenzione del rischio-reato” il cui obiettivo è quello di ridurre - continuativamente e ragionevolmente - il rischio-reato tramite l’approntamento di misure puntuali, concrete e orientate al contenimento del rischio stesso.

La circostanza che i Protocolli di prevenzione del rischio-reato rivestano un ruolo centrale si deduce dalla duplice funzione dai medesimi assolta: preventiva in quanto, laddove efficacemente adottati ex ante, consentono all’ente di esimersi da qualsivoglia responsabilità; riparatoria dell’offesa giacché, se adottati ex post, riducono considerevolmente l’entità delle misure afflittive comminate a carico della società. Tuttavia, perché i Protocolli siano idonei a esplicare dette finalità, il Tribunale di Milano ritiene che - sotto il profilo contenutistico - gli stessi debbano: (a) indicare il soggetto responsabile del processo a rischio reato, il cui compito principale è quello di assicurare che il sistema operativo sia adeguato ed efficace al fine che si intende perseguire; (b) individuare i soggetti che hanno il presidio di una specifica funzione avendo cura di prevedere che, coloro che intervengono in una determinata fase, non possano svolgere alcun ruolo nelle altre fasi del processo decisionale in modo da evitare che il processo, o una parte rilevante di esso, resti nelle mani di un’unica funzione; (c) essere specifici rispetto al rischio da contenere e dinamici, in grado di adeguarsi a eventuali mutamenti organizzativi nella compagine sociale.