Si discute dell’obbligatorietà del modello 231 per prevenire la responsabilità ex d.lgs. 231/2001, che non contiene però indicazioni al riguardo
Cos’è il modello 231 e la sua obbligatorietà
Prima di addentrarsi a considerare l’obbligatorietà del modello 231 o meno, è bene partire da un’impostazione generale su cosa effettivamente esso sia.
Il d.lgs. n. 231/2001 ha introdotto una nuova e particolare forma di responsabilità per una serie di soggetti elencati dall’art. 1 co. 2 del decreto in parola – “enti forniti di personalità giuridica”, “società e associazioni anche prive di personalità giuridica” – al fine di contrastare efficacemente la criminalità economica d’impresa[1].
Si era invero appurato che le forme di responsabilità presenti nell’ordinamento, colpendo solo la persona fisica, non erano in grado di applicarsi ai cosiddetti “white collar crimes” dove l’individuo, oltre ad essere estremamente difficile da rintracciare, non è quasi mai autore esclusivo del fatto di reato ed in ogni caso è la società stessa la beneficiaria ultima dell’attività illecita e quindi è ad essa che dovrebbero applicarsi le sanzioni penali.
Pertanto, l’ormai ventennale provvedimento in questione mira proprio ad applicare misure sanzionatorie nei confronti di persone giuridiche al sussistere di determinati presupposti, indicati più nello specifico nella Sezione I del Capo I del decreto.
In particolare, ai fini della presente trattazione, occorre soffermarsi sul requisito dell’idoneità del Modello di Organizzazione, Gestione e Controllo (MOG 231).
Tali modelli non sono altro, quindi, che dei veri e proprio protocolli, rispondenti a dei requisiti fissati dalla normativa stessa, che consentono alla società che li adotta di andare esente da ogni sanzione penale nel caso in cui un fatto illecito sia commesso da un soggetto di vertice o da un subordinato, applicandosi così la disciplina penalistica per le persone fisiche solamente nei loro confronti.
Quando il modello 231 è da considerarsi efficace?
Affinché il modello sia efficace, come facilmente intuibile, il primo requisito fondamentale è l’individuazione delle attività svolte dalla società in questione nelle quali potrebbero essere commessi dei reati.
Vi sono poi una serie di ulteriori specificazioni contenute nella normativa quali la previsione di specifici protocolli finalizzati a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire, l’individuazione delle modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati, nonché l’indicazione di obblighi di informazione nei confronti dell’Organismo di vigilanza e un sistema disciplinare idoneo a sanzionare chi contravviene alle misure indicate nel modello.
Inoltre, nel caso di modelli preposti al controllo dell’attività dei sottoposti si richiede che essi siano periodicamente soggetti a verifica e modifica “quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività” (art. 7 co.4).
Si segnala anche una particolarità introdotta nel d.lgs. n. 231/2001, importata da altri istituti: il whistleblowing. Infatti, per incentivare le segnalazioni di condotte illecite, che al contrario potrebbero essere pregiudicate dal timore di ritorsioni, il modello deve garantire la tutela della riservatezza dell’identità di chi denuncia la commissione di un illecito. Tuttavia, sebbene la loro costruzione appaia estremamente complessa, è frequente che tali modelli non vengano ideati da zero, ma al contrario adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, così che sia facilmente individuabile da subito i reati a cui quel tipo di società potrebbe andare più probabilmente incontro e le misure che, sulla base dell’esperienza, si ritengono più adatte a contrastarli.
Facoltà o obbligatorietà del modello 231?
Compreso cosa e quale è il contenuto del cosiddetto MOG, resta quindi da verificare se vi sia un’obbligatorietà del modello 231 o invece una mera facoltà.
La risposta a tale quesito, come spesso accade in ambito giuridico, è più complessa di una semplice affermazione o negazione.
Infatti, dall’art. 6 co. 1 lett. a) d.lgs. n. 231/2001, che esclude la responsabilità dell’ente per i reati commessi dai suoi vertici o sottoposti se “l’organo dirigente ha efficacemente adottato e attuato modelli organizzativi e di gestione idonei a prevenire reati della specie di quello verificatosi”, fa intendere che non vi sia nessuna obbligatorietà del modello 231. Chiaramente però la società che, per risparmiare sugli inevitabili costi dovuti all’adozione di un modello, trascuri di adottarlo andrà necessariamente incontro a delle sanzioni al sussistere degli altri presupposti specificati dalla normativa.
Tuttavia, sebbene la legislazione nazionale non codifichi l’obbligatorietà del modello 231, nel corso degli anni vi sono state delle iniziative di legislazione regionale che vanno nella direzione di imporre l’adozione del modello per poter ottenere o mantenere l’accreditamento in alcuni settori specifici. In particolare, tra tali provvedimenti regionali si sottolinea il decreto n. 588/2010 con cui la regione Lombardia ha reso l’adozione ed implementazione del modello una conditio sine qua non per consentire agli enti che svolgono servizi formativi di trattare con la regione stessa[2].
Ed ancora prima, la Legge della regione Calabria n. 15 del 21 giugno 2008, richiedeva alle imprese che operavano in un regime di convenzione con la stessa di adeguarsi a tale modello[3].
Così come l’AGCM esige la presenza del MOG 231 come elemento di valutazione ai fini dell’attribuzione del punteggio per il rating di legalità.
E ancora, il Codice degli appalti (d.lgs. n. 50/2016), all’art. 80 considera tra le cause di esclusione ad una gara la condanna penale ad una serie di reati quasi interamente sovrapponibili a quelli elencati dal d.lgs. n. 231/2001[4]. Un modello idoneo ed efficiente, quindi, oltre ad evitare che la sanzione per il fatto commesso dalla persona fisica gravi sulla società, consente la partecipazione a gare pubbliche.
Pertanto, richiedendo la necessaria implementazione del MOG 231 per poter rapportarsi con le istituzioni ed accedere al mercato, si è introdotto un più appetibile incentivo rispetto a quello debole dell’efficacia esimente dalla responsabilità ex 231, non ritenuta compensata dai costi non esigui della conformazione al modello.
Infatti, secondo un’indagine pubblicata nell’aprile 2017 da Confindustria, in collaborazione con TIM, solo il 36% delle imprese medio-piccole prese a campione sono dotate di un MOG, implementati soprattutto tra il 2008 e il 2013, vale a dire quando nel catalogo dei reati presupposto per la responsabilità ex 231 si sono introdotti i reati colposi in materia di salute e sicurezza sul lavoro, a testimonianza del fatto che ad incentivare le aziende è più il concreto rischio di andare incontro ad un procedimento penale che non la gravità del reato presupposto[5].
Quale è il passaggio successivo all’adozione del modello 231?
Una volta che il modello è stato adottato e implementato, per sorvegliare sul suo effettivo rispetto è fondamentale, oltre alla parte prescrittiva e sanzionatoria, il ruolo dell’Organismo di vigilanza, vero soggetto centrale di tutto il sistema prevenzionistico.
Esso deve essere dotato di autonomi poteri di iniziativa e controllo al fine di vigilare sull’effettivo funzionamento ed efficacia del modello. Ciò significa che, al fine di preservare l’indipendenza, non vi deve essere alcun rapporto di subordinazione o condizionamento da parte dell’organo dirigente.
Pertanto, qualora l’Organismo di vigilanza fosse parte del Consiglio di amministrazione della società, come è avvenuto ad esempio nel caso Riva F.i.R.E. s.p.a., vi sarebbe il rischio che i suoi controlli siano meramente fittizi e quindi sarebbe illegittimo[6].
Unica eccezione a tale requisito di indipendenza viene descritto, in modo poco coerente, nell’art. 6. co.4 dove si consente agli enti di piccole dimensioni di far svolgere le funzioni dell’organismo di vigilanza allo stesso organo dirigente.
Il rischio della mancata adozione del modello 231: il caso ThyssenKrupp
La responsabilità dell’ente da reato, e in particolare la necessità dell’adozione di un modello effettivo ed aggiornato, ha negli ultimi anni interessato particolarmente la giurisprudenza di legittimità. Infatti, la non obbligatorietà del modello 231 secondo la legge, ha portato le aziende a predisporre modelli di organizzazione e gestione solo fittizi, con lo scopo di costituire un’esimente alla responsabilità amministrativa da reato, ma di fatto non aggiornati e privi di controlli sul loro concreto rispetto.
Tra questi, si deve menzionare sicuramente il caso ThyssenKrupp, tragicamente balzato agli onori della cronaca a causa di un incendio scoppiato nella notte tra il 6 e 7 dicembre 2007 nello stabilimento torinese della ThyssenKrupp Acciai Speciali Terni s.p.a. che ha causato la morte di sette operai.
La sentenza viene ricordata soprattutto per aver chiarito il concetto di “interesse o vantaggio” nei reati colposi, ma è rilevante anche per sottolineare l’importanza del modello a fini esimenti e soprattutto le caratteristiche che esso deve possedere[7]. Infatti, i giudici appurarono che un modello di organizzazione era effettivamente stato predisposto dai dirigenti della società, ma esso aveva solamente un ruolo “di facciata”. In vero, non era stato aggiornato nemmeno a seguito dell’incendio, avvenuto appena un anno prima, nello stabilimento di Krefeld ed era stato giudicato ineffettivo per carenza di autonomia dell’Organismo di vigilanza.
Sono state così ritenute non sufficientemente convincenti le argomentazioni della società che aveva lamentato la ristretta tempistica per l’adozione del modello, dovuta al fatto che i reati colposi erano stati aggiunti da pochi mesi all’elenco dei reati presupposto con la L. n. 123/2007. Le misure devono infatti essere implementate tempestivamente e un elemento utile per capire l’effettiva attenzione alla questione della sicurezza e prevenzione di illeciti è rappresentato dalle Relazioni ai bilanci e dalle delibere degli organi esecutivi che si occupano di fare il punto sulle risorse destinate a tale obiettivo.
In sostanza, quindi, per soddisfare il requisito della presenza di un MOG 231 non basta si presenti come un mero “adempimento burocratico”, come la Cassazione ha definito quello applicato nel caso di specie, ma deve effettivamente garantire un adeguato controllo.
Conclusioni
Da questa breve panoramica sul MOG previsto dal d.lgs. n. 231/2001 viene risaltata la sua funzione special-preventiva per evitare che l’ente venga punito se ha efficacemente attuato una politica interna di repressione dei reati.
Non vi è quindi nessuna obbligatorietà del modello 231 imposta dalla legge. Tuttavia, visti i risultati non propriamente entusiasmanti che sono stati documentati e le tristi vicende di cronaca che hanno sottolineato quanto un modello aggiornato e sottoposto ad un effettivo controllo da parte dell’Organismo di vigilanza possa evitare gravi incidenti, la direzione verso la quale si sta procedendo ormai da diversi anni è quella di un’obbligatorietà de facto del modello 231.
Infatti, come si è visto, la mancata o fittizia adozione del modello, oltre ad esporre gli amministratori al rischio di azioni di responsabilità, non consente in un numero sempre maggiore di casi di partecipare a bandi o a contrattazioni con soggetti pubblici[8].
Informazioni
Procedura penale delle società, M. CERESA-GASTALDO, Giappichelli, 2019.
L’adozione del modello 231 da facoltà ad obbligo per le imprese, M. CATTADORI, in https://archiviodpc.dirittopenaleuomo.org/d/288-l-adozione-del-modello-231-da-facolta-ad-obbligo-per-le-imprese#_ftn2, 22 dicembre 2010.
Una recente indagine su modelli organizzativi 231 e anticorruzione, M. VIZZARDI, in https://archiviodpc.dirittopenaleuomo.org/d/5399-una-recente-indagine-su-modelli-organizzativi-231-e-anticorruzione, 9 maggio 2017.
[1] Cfr. D.lgs. 8 giugno 2001, n. 231 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”.
[2] Cfr. Decreto n. 5808 del 08/6/2010 rubricato “Approvazione dei requisiti e delle modalità operative per la richiesta di iscrizione all’albo regionale degli operatori pubblici e privati per i servizi di istruzione e formazione professionale e per i servizi al lavoro in attuazione dela D.G.R. N. VIII del 23 dicembre 2009”.
[3] Cfr. Legge Regione Calabria n. 15 del 21 giugno 2008, ove all’art. 54 statuisce: “co. I) Le imprese che operano in regime di convenzione con la Regione Calabria, sono tenute ad adeguare, entro il 31 dicembre 2008, i propri modelli organizzativi alle disposizioni di cui al decreto legislativo 8 giugno 2001, n. 231, recante la “disciplina della responsabilità amministrativa delle persone giuridiche, delle società, e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”, dandone opportuna comunicazione ai competenti Uffici Regionali”.
[4] Cfr. D. lgs. 18 aprile 2016, n. 50, che all’art. 80 co. 1 (“Motivi di esclusione”), recita: “Costituisce motivo di esclusione di un operatore economico dalla partecipazione a una procedura d’appalto o concessione, la condanna con sentenza definitiva o decreto penale di condanna divenuto irrevocabile o sentenza di applicazione della pena su richiesta ai sensi dell’articolo 444 del codice di procedura penale”. Invece per un’indicazione più specifica su quali siano i reati presupposto del d.lgs. n. 231/2001, si veda l’articolo “I reati presupposto nella disciplina 231/2001”, pubblicato su Dirittoconsenso, http://www.dirittoconsenso.it/2021/08/23/reati-presupposto-disciplina-231-2001/.
[5] Vedi al riguardo, “Indagine modelli organizzativi 231 e anticorruzione”, Aprile 2017, in https://archiviodpc.dirittopenaleuomo.org/upload/Indagine231.pdf.
[6] Cfr. Cass., Sez. VI, 24 gennaio 2014, n. 3635, in http://ambientediritto.com/giurisprudenza/corte-di-cassazione-penale-sez-6-24-01-2014-sentenza-n-3635/.
[7] Cfr. Cass., Sez. Un., 18 settembre 2014, n. 38343, in https://www.giurisprudenzapenale.com/wp-content/uploads/2019/04/SSUU-Thyssenkrupp.pdf.
[8] Tribunale Milano, sez. VIII civ., 13 febbraio 2008, n. 1774, ha infatti ritenuto che la mancata adozione di un idoneo Modello di organizzazione e gestione legittima un’azione di responsabilità ex art. 2392 c.c. nei confronti degli amministratori, facendo così sorgere un obbligo risarcitorio in capo ai medesimi.

Benedetta Brandimarti
Ciao, sono Benedetta. Mi sono laureata presso l'Università Bocconi di Milano discutendo una tesi in diritto processuale penale e attualmente frequento la Scuola di specializzazione per professioni forensi. La mia principale area di interesse è quella del diritto penale con un'attenzione particolare alla responsabilità amministrativa da reato ex d. Lgs. 231/2001.