Uno dei requisiti della vigilanza è la sua effettività, come esplicitato dall’art. 6, comma 1, lett. d). Si potrebbe forse disquisire sul significato specifico di una vigilanza effettiva: riferendosi ad un controllo, si è naturalmente portati a pensare che sia effettiva quella forma che riesce, almeno in buona parte, ad impedire la realizzazione del reato. Tuttavia, questa lettura cade in un errore di eccessiva semplificazione, e sconta una prospettiva errata sotto due aspetti: da un lato, il controllo e l’impedimento sono concetti distinti, anche se strettamente collegati (sarebbe probabilmente auspicabile ravvisare sempre, a fronte di obblighi di vigilanza, conseguenti poteri di impedimento); dall’altro, e conseguentemente, affermare che l’attività di vigilanza non sia effettiva ogni volta che si verifichi un fatto di reato significherebbe fissare una soglia di sufficienza altissima, e forse irraggiungibile, con il rischio di una sorta di deriva sul piano della responsabilità. È quindi opportuno considerare differenti parametri.
In primo luogo, l’effettività dell’azione di vigilanza dipende in larga misura dal flusso informativo: soltanto attraverso una corretta ed efficace disciplina di questo, ed alle segnalazioni di criticità, è possibile verificare l’esistenza, la portata e i possibili effetti delle violazioni del modello organizzativo; la rete di informazioni deve essere particolarmente ramificata nel caso di enti complessi, di notevoli dimensioni e dalla struttura parcellizzata.
Ci si chiede se, in un certo senso, questi due aspetti non possano intersecarsi: se l’art. 6, comma 2, lett d) stabilisce che dell’obbligo deve essere destinatario l’organismo di vigilanza, non ci sono preclusioni all’idea che l’adempimento di tali doveri informativi possa essere sollecitato dai membri dell’organismo stesso, o che le modalità concrete dello stesso possano essere studiate ai fini di massimizzarne l’efficacia. In altre parole, si potrebbe chiedere ai membri di questo organo di ricercare le informazioni rilevanti. Sia chiaro che la nostra è un’ipotesi a livello di organizzazione aziendale; altro profilo, naturalmente, è quello della rilevanza giuridica e, soprattutto, penalistica di questi comportamenti e della loro omissione.
Il flusso informativo ha ad oggetto tutte le informazioni ed i documenti che, secondo i protocolli adottati dalle singole realtà interne all’ente, debbono essere
portati a conoscenza dell’odv (a tale proposito, sono state avanzate proposte di una sanzione specifica per chi non ottemperi a tali obblighi294). Per le funzioni che sono state ritenute a particolare rischio di reati, si devono aggiungere informazioni circa le attività che sono messe in atto da responsabili e dipendenti per prevenire il rischio di reato, e i relativi risultati; queste solitamente sono trasmesse in forma di report, risultati di monitoraggio, o indici consuntivi. Particolarmente importanti sono le segnalazioni circa le anomalie che vengono riscontrate in relazione alle attività controllate. Non si tratta soltanto di informazioni tecniche, legate alla specifica attività che viene compiuta dall’ente: tra queste segnalazioni vanno annoverate anche le richieste di assistenza legale circa i procedimenti per reati- presupposto; i provvedimenti dell’autorità giudiziaria da cui si evincano procedimenti che interessano o potrebbero interessare l’ente; le relazioni di alcune commissioni di inchiesta o di altri organi interni da cui emergano responsabilità per un illecito; le notizie circa l’implementazione del modello di organizzazione e gestione; i prospetti riepilogativi di appalti; le notizie circa le commesse affidate da enti pubblici o soggetti che svolgano la funzione di pubblica autorità, e circa la richiesta e la decisione in merito a finanziamenti pubblici295.
Dall’ambito bancario proviene un interessante suggerimento metodologico: i soggetti responsabili di unità funzionali hanno un doppio obbligo di riferire all’organismo di vigilanza osservazioni rilevanti in due forme: semestralmente sull’attività svolta per implementare le osservazioni, e sulle segnalazioni di nuovi indizi di pericolosità; tempestivamente, in caso di gravi anomalie del funzionamento del modello, o violazioni di prescrizioni dello stesso. Proprio l’istituzione di un controllo, per così dire diffuso, consente di ottenere una più accurata mappatura dell’attuazione del modello, ed anche di auspicarne un migliore funzionamento.
L’odv è obbligato a fornire ad ogni altro organo o funzione aziendale, ed anche – naturalmente – alle persone fisiche, chiarimenti sul significato e la portata del modello di organizzazione. Vi sono obblighi di riferire annualmente alla dirigenza, e – si può aggiungere – agli organi di controllo circa l’attuazione del
294 G.i.p. Trib. Napoli 26 giugno 2007. 295 Così le Linee guida di Confindustria.
modello e le criticità del sistema; di solito, l’occasione è l’approvazione del bilancio296. Inoltre, ogni volta che gli amministratori lo ritengano necessario, l’odv è tenuto a rispondere a tali richieste di informazioni. Infine, tra le c.d. “buone prassi” sono da annoverare gli scambi di informazione con gli altri organi, particolarmente se svolgono funzioni di controllo. Si tratta ovviamente di modalità con cui si arricchisce il flusso informativo per una migliore concretizzazione delle strategie di controllo.
Altro presupposto per escludere la responsabilità dell’ente è che la vigilanza non sia stata caratterizzata da omissioni o insufficienze. Per verificare questo, oltre alla completezza dei flussi informativi, sono di aiuto indici qualitativi: la bontà del piano di verifica, l’accuratezza con cui vengono prese in considerazione le informazioni ricevute, l’attenzione riservata alla formazione e all’aggiornamento del personale, le attività istruttorie per reperire informazioni. Tuttavia, anche dati quantitativi possono essere particolarmente utili, quali la cadenza dei controlli e delle riunioni, e la continuità dell’impegno dei componenti.
Proprio in virtù della necessità di controllare tali elementi, le attività dell’organismo sono segnate da un elevato livello di formalizzazione, così che le attività di vigilanza, le riunioni e i suggerimenti che l’odv formula rispondano al requisito della tracciabilità. I singoli dati dovranno poi confluire nella relazione annuale formulata al consiglio di amministrazione ed all’organo di controllo. Inutile sottolineare la convenienza probatoria per l’ente nell’ottemperare a tale requisito.
Infine, la riservatezza delle informazioni è un elemento essenziale: queste devono essere acquisite con procedimenti (black mail, canali riservati) in modo tale da incentivare l’affidabilità della segnalazione e da poter escludere conseguenze pregiudiziali per coloro che se ne rendono protagonisti297.
296 M.CRUCIANI –S.DI DIEGO –G.GENTILI –U.ZITO, 2007, loci sparsi.
297 Si fa qui riferimento al complesso tema dei whistle blowers, cioè di quei dipendenti che segnalano omissioni ed irregolarità.