3.1 Premessa.
I seguenti paragrafi, dedicati alle fasi di adozione di un modello e alle parti che lo compongono, saranno strutturati, ove possibile, secondo una bipartizione concettuale. Dapprima si condurrà un’analisi teorica degli argomenti, sulla base delle indicazioni provenienti dalla dottrina e dalle Linee Guida di Confindustria; successivamente si procederà mediante l’analisi del modello organizzativo 222 di UnipolSai Assicurazioni
S.p.a.223, a valutare se e quanto la pratica si discosti dalla teoria, avendo
sempre ben presente la necessaria caratterizzazione peculiare di ogni modello organizzativo, che si deve adattare come un “abito su misura” alla singola realtà a cui si riferisce224.
222 «Modello di Organizzazione, Gestione e Controllo (ai sensi del D.Lgs. 231/2001)» approvato dal C.d.A. il 16 febbraio 2005 e aggiornato al 27 settembre 2018; reperibile,
nella sua parte generale, al seguente sito web:
http://www.unipolsai.com/it/governance/sistema-di-corporate-governance/modello- di-organizzazione-gestione-e-controllo-mog. In seguito anche Modello organizzativo. 223 In seguito anche UnipolSai Assicurazioni o UnipolSai.
224 Si rimanda al riguardo a T.E. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, in La responsabilità da reato degli enti. Modelli di organizzazione, gestione e controllo e strategie per non incorrere nelle sanzioni, a cura di L.D. CERQUA, Halley Editrice, 2006, p. 267, secondo il quale «un modello organizzativo è (e deve essere) assolutamente “sartoriale”».
3.2 Il procedimento di adozione del modello organizzativo.
Il modello di organizzazione e gestione si articola in un complesso di procedure, di regole organizzative e di attività di controllo atto ad impedire la commissione di fatti illeciti da parte dei soggetti indicati dal comma 1 dell’art. 5225.
Nonostante il modello rivesta un ruolo fondamentale ai fini dell’esclusione della responsabilità dell’ente, il legislatore delegato ha fornito scarne indicazioni sulle modalità della sua adozione 226 ,
limitandosi a delineare solo un contenuto minimo227 al comma 2 dell’art.
6, secondo il quale «in relazione all'estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze: a) individuare le attività nel cui ambito possono essere commessi reati; b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello».
225 P. BASTIA, Criteri di progettazione dei modelli organizzativi, in Riv. resp. amministrativa soc. ed enti, 2008, n. 2, p. 207; G. LASCO, op. cit., p. 84.
226 G. CHECCACCI - F. GIUNTA - C. PAONESSA, Il calco per il modello. appunti metodologici sulla mappatura del rischio, in Riv. resp. amministrativa soc. ed enti, 2016, n. 1, p. 285 secondo i quali «sono piuttosto scarne le coordinate per la costruzione dei modelli desumibili dal d.lgs. 231/2001».
227 A. ROSSI, La responsabilita’ degli enti (d.lgs. 231/2001): i soggetti responsabili, in Riv. resp. amministrativa soc. ed enti, 2008, n. 2, p. 198 parla di «“contenuto minimo obbligatorio” e non derogabile dei modelli medesimi».
Sono state la dottrina228 e le associazioni di categoria229 a delineare,
in via esemplificativa e generale, le «attività prodromiche alla realizzazione del piano di organizzazione, gestione e controllo»230.
Secondo tali indicazioni, per adottare ed implementare un modello, le società devono procedere mediante un metodo progettuale di ampio respiro e seguendo una scansione di fasi ritenute essenziali o, comunque, adatte allo scopo. Il procedimento di adozione del modello231, dunque,
228 Si veda, ex multis, G. CHECCACCI - F. GIUNTA - C. PAONESSA, op. cit., pp. 285-303; C. DE LUCA - R. DE LUCA, Il processo di realizzazione e adozione dei modelli di organizzazione, gestione e controllo, in Il professionista e il D.Lgs. 231/2001. Dal modello esimente all’organo di vigilanza, a cura di A. DE VIVO, Wolters Kluwer, IPSOA, 2010, pp. 29-96; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 263-270.
229 In tal senso, si rimanda a Linee Guida di Confindustria, pp. 28-36.
230 G. MAGLIOCCA, Il modello di organizzazione, gestione e controllo, in La prova nel processo agli enti, cit., p. 48.
231 Il quale, secondo quanto sostenuto da P. BASTIA, op. cit., pp. 205-206, deve caratterizzarsi per determinati requisiti riconducibili a precisi principi di progettazione che sono: «a) Efficacia, intesa come rispondenza del Modello alla soluzione delle problematiche di rischio di illeciti nelle condizioni di specificità dell’impresa. b) Adeguatezza, quale condizione di coerenza degli strumenti adottati alle effettive dimensioni aziendali e alle caratteristiche di complessità, in termini di varietà di prodotti e di mercati, dei business gestiti. c) Predittività […] (che) si concretizza nella progettazione e realizzazione di meccanismi anticipatori basati su strumenti di segnalazione precoce e potenziale dei fenomeni osservati, su simulazioni e su valutazioni ipotetiche, in grado di fornire al management elementi di valutazione e controllo ex ante. d) Articolazione, […] che si estrinseca nella scomposizione analitica dei processi e delle aree di responsabilità aziendali […] al fine di localizzare e moltiplicare le informazioni, i presidi e gli attori dei controlli nell’ambito della struttura dell’azienda, la cui configurazione organizzativa rappresenta il primario riferimento per la progettazione. e) Rilevanza, quale pregio dei flussi informativi che interessano l’azienda nel suo complesso, ma soprattutto lo specifico segmento aziendale di riferimento […]. f) Responsabilizzazione formale, come necessario presupposto per un effettivo impegno organizzativo da parte del management, attraverso la formale attribuzione di responsabilità e di poteri di controllo sui rischi di reato, con un chiaro, esplicito e codificato riferimento a soggetti individualmente identificati nell’ambito della struttura organizzativa. g) Adeguatezza: costituisce un principio cardine e sistemico dei Modelli Organizzativi, che ne implica la validità e l’effettiva utilità strumentale, come rispondenza reale alla scala dimensionale e alla natura delle problematiche e del perimetro dei rischi che contraddistinguono la specifica azienda di riferimento […]. h) Relatività, considerata in funzione della diversa idoneità dei Modelli Organizzativi alle finalità conoscitive, in generale previste dal legislatore, ma più in dettaglio individuate ed esplicitate dall’organo
implicherebbe: una fase preliminare volta a raccogliere e verificare la documentazione aziendale rilevante, una fase di identificazione e di mappatura dei rischi, una fase di identificazione delle carenze organizzative e dei conseguenti possibili interventi (c.d. gap analysis) e, infine, una fase di predisposizione del modello in senso proprio, in particolare dei protocolli232.
amministrativo che approva i Modelli e ne precisa i contenuti e i supporti […] i) Dinamicità, atta ad una verifica periodica della validità del Modello Organizzativo già implementato, in rispondenza all’evoluzione normativa e a quella strategica ed organizzativa dell’azienda, nonché all’apprendimento che il management via via elabora, attraverso l’utilizzo del Modello, nell’ambito della gestione […]».
232 Si tratta di una articolazione che, salvo le normali divergenze dovute alla elaborazione personale, ricorre assai similmente in tutti gli interpreti. Si veda in particolare D. CIMADOMO, op. cit., p. 228 secondo il quale «le attività principali […] riguardano: la raccolta e la verifica della documentazione aziendale rilevante; la mappatura di rischio; l’identificazione ed analisi dei presidi di rischio già esistenti; la gap analysis; la realizzazione dei protocolli»; N. COSTANTINO - M. FALAGARIO, La redazione del modello organizzativo: adempimenti formali e sostanziali, in Riv. resp. amministrativa soc. ed enti, 2009, n. 3, p. 198, che scandiscono il procedimento nei «seguenti passaggi: 1) individuare le attività sensibili e strumentali alla commissione dei reati; 2) mappare i rischi delle varie attività; 3) costruire la matrice probabilità/impatto degli eventi; 4) prevedere specifici controlli atti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire attraverso la matrice dei controlli, la matrice delle attività sensibili e strumentali ed eventuali suggerimenti di revisione organizzativa; 5) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati»; T. E. EPIDENDIO, I modelli di organizzazione dell’ente, in Enti e responsabilità da reato. Accertamento, sanzioni e misure cautelari, cit., pp. 207-209 per il quale l’adozione implica una fase di analisi dei rischi, una fase di «pianificazione che deve comprendere l’indicazione di misure […] che riguardino […] le modalità di svolgimento dell’attività dell’ente […] (e) il controllo delle misure di cui sopra» e una fase di adozione «in senso proprio»; G. LASCO, op. cit., pp. 84-85, che individua come passaggi del procedimento di predisposizione del modello «(una) preliminare attività istruttoria diretta a raccogliere e a verificare i dati aziendali […]; (una) mappatura del rischio […]; (la) gap analysis […]; (la) redazione dei protocolli che costituiscono il Modello organizzativo»; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 267, secondo il quale «la definizione di un adeguato modello organizzativo può essere raggiunta tramite 3 fasi: 1) l’identificazione dei rischi; 2) la definizione delle carenze organizzative e dei relativi interventi correttivi (c.d. gap analysis); 3) il disegno del modello organizzativo»; A. ROSSI, op. cit., p. 198, per la quale «Il percorso “guidato” per la realizzazione del sistema di gestione del rischio passerà, quindi, attraverso le seguenti tappe: preventiva identificazione dei “processi a rischio”, con connessa periodica revisione della realtà aziendale, al fine di individuare le aree “a rischio commissione reati”; individuazione dei “rischi potenziali” per
Il primo passaggio consiste, dunque, nella raccolta e nella analisi della documentazione interna della società, necessaria ad acquisire una conoscenza generale della medesima onde rilevarne le eventuali criticità233. In particolare, occorre esaminare determinati documenti
quali l’organigramma, il mansionario, lo statuto, il regolamento di spesa, eventuali deleghe e procure conferite, le procedure, il sistema disciplinare e il codice etico (se presenti), etc.234
Non solo. Si ritiene che un passaggio utile per la predisposizione di un modello sia la verifica di eventuali precedenti giudiziari della persona giuridica e dei suoi dipendenti, in modo anche e soprattutto per far luce sulle possibili modalità di compimento dei reati all’interno della struttura societaria235.
processo; valutazione, costruzione ed adeguamento del sistema di controllo preventivo esistente, al fine altresì di qualificarsi precisamente il concetto nodale di “rischio accettabile”, posto che la soglia appare rappresentata proprio da un sistema di prevenzione tale da non poter essere aggirato se non intenzionalmente. Il “tutto” con particolare attenzione alle differenze tra reati-presupposto dolosi e reati-presupposto colposi».
233 D. CIMADOMO, op. cit., p. 228; C. DE LUCA - R. DE LUCA, op. cit., pp. 52-53. 234 A. BERNASCONI, L’esimente: il modello organizzativo per i reati degli “apicali”, cit., p. 101; D. CIMADOMO, op. cit., p. 228; C. DE LUCA - R. DE LUCA, op. cit., p. 68; M. A. PASCULLI - S. RUBERTI, Il modello organizzativo come strumento di (de)responsabilizzazione dell’ente tra pratica e teoria, in Riv. resp. amministrativa soc. ed enti, 2013, n. 3, p. 159.
235 F. GIUNTA, Il reato come rischio d’impresa e la colpevolezza dell’ente collettivo, in Analisi Giuridica dell’Economia: Studi e discussioni sul diritto dell’impresa. Società e modello «231». Ma che colpa ne abbiamo noi?, cit., pp. 256; R. DUZIONI, Mappatura di aree a rischio e formazione della relativa documentazione dimostrativa dei passi compiuti da offrire al giudice o al pubblico ministero quale attività ex 391- nonies c.p.p. attività investigativa preventiva, in Riv. resp. amministrativa soc. ed enti, 2011, n. 4, p. 142. L’autrice, nell’elaborato, esamina la possibilità di eseguire «tutta o parte, delle attività di mappatura delle aree a rischio, e cioè di individuazione delle attività nel cui ambito esiste la possibilità che vengano commessi reati previsti dal Decreto […] come, “attività investigativa preventiva” ex art. 391-nonies c.p.p. […] (concludendo come) da un sommario confronto esplorativo si è constato che gran parte delle attività operative tipiche di risk management di identificazione delle aree a rischio trovano nel codice di procedura penale la loro alter ego, attività che qualora si voglia erigere a valore probatorio pieno deve essere preceduta da un mandato difensivo specifico scritto. […] La formazione del “Fascicolo difensivo preventivo di mappatura delle attività a rischi”, quale documento ufficiale societario, sarebbe un atto- documento dell’ente che […] dovrebbe essere considerato dal Giudice Penale prima
La seconda fase è rappresentata dall’identificazione dei rischi e dalla c.d. mappatura236; si tratta del passaggio nevralgico di tutto il
procedimento di adozione, la base per l’effettiva costruzione di un’impalcatura organizzativa idonea a prevenire la commissione di reati237.
La mappatura238 prende le mosse dall’individuazione delle c.d. aree
sensibili, ossia di quelle attività della società che possono essere occasione di commissione di uno o più reati-presupposto239, analizzando
anche le modalità attraverso le quali le condotte criminose possono essere attuate240.
di prendere decisioni in merito all’applicazione di misure cautelari reali ma anche personali».
236 Questa «segna il passaggio della riflessione dalla funzione del modello (a cosa serve?) al suo modus operandi (come funziona in concreto?)». F. GIUNTA, op. cit., p. 254.
237 R. DUZIONI, op. cit., p. 137, considera la mappatura «il punto di partenza per la costruzione del modello»; S. RAVASIO, Idoneità della mappatura dei processi aziendali. onere probatorio nel giudizio di efficace attuazione del modello ex d.lgs. 231/2001 e difesa preventiva, in Riv. resp. amministrativa soc. ed enti, 2010, n. 2, p. 231 definisce la mappatura «uno degli adempimenti normativi essenziali nella predisposizione di un Modello Organizzativo e Gestionale idoneo».
238 «Lo svolgimento di tale fase può avvenire secondo approcci diversi: per attività, per funzioni, per processi» (Linee Guida di Confindustria, p. 33).
239 È necessario passare al vaglio di probabilità di commissione ogni fattispecie di reato prevista dal d.lgs. 231/2001, lasciando traccia di questa valutazione nella documentazione preparatoria al modello. Naturalmente, vi sono ipotesi di reato escluse dai protocolli preventivi in quanto ritenute di impossibile o difficile realizzazione per la loro distanza dall’attività concreta esercitata dalla società. Al riguardo G. CHECCACCI - F. GIUNTA - C. PAONESSA, op. cit., pp. 292-303 individuano quattro categorie di fattispecie incriminatrici escludibili: «1) reati il cui rischio di commissione non è comunque fronteggiabile attraverso il Modello di organizzazione e gestione […] 2) reati che non possono essere inclusi nel catalogo dei reati presupposto d.lgs. 231/2001 in via interpretativa; 3) reati che si caratterizzano per l’assenza di qualunque rischio di verificazione, trattandosi di illeciti che, per la presenza di alcuni elementi strutturali del fatto tipico […] sono ictu oculi incompatibili con le attività dell’ente per come risultano dall’oggetto sociale; 4) reati per cui non è plausibile il movente dell’interesse o vantaggio dell’ente».
240 G. CHECCACCI - F. GIUNTA - C. PAONESSA, op. cit., p. 287; G. MAGLIOCCA, op. cit., p. 49; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., pp. 267-268.
Una volta individuate le aree a rischio, si deve passare alla valutazione241 del rischio stesso e della probabilità di accadimento242.
In tal senso assume particolare importanza il concetto, elaborato nelle
Linee Guida di Confindustria, di «rischio accettabile», inteso come il
rischio per il quale il prezzo di ulteriori controlli supera quello del bene oggetto di protezione243. «Nel caso del decreto 231 del 2001 la logica
economica dei costi non può però essere un riferimento utilizzabile in via esclusiva. È pertanto importante che ai fini dell’applicazione delle norme del decreto sia definita una soglia effettiva che consenta di porre un limite alla quantità/qualità delle misure di prevenzione da introdurre per evitare la commissione dei reati considerati. In assenza di una previa determinazione del rischio accettabile, la quantità/qualità di controlli preventivi istituibili è, infatti, virtualmente infinita, con le intuibili conseguenze in termini di operatività aziendale. […] Riguardo al sistema di controllo preventivo da costruire in relazione al rischio di commissione delle fattispecie di reato contemplate dal decreto 231, la soglia concettuale di accettabilità, nei casi di reati dolosi, è rappresentata
241 Diverse sono le modalità di risk assessment (valutazione del rischio). Al riguardo si rimanda a V. GENNARO - C. GRILLI - N. PIRAS, Metodologie di valutazione del rischio reato a confronto: profili giuridici ed economico-aziendali, in Riv. resp. amministrativa soc. ed enti, 2010, n. 2, pp. 219-229. Gli autori concludono nel senso dell’esistenza di «tre fondamentali modalità di approccio metodologico alla realizzazione dell’identificazione e valutazione dei rischi: una modalità di base, una evoluta e una avanzata, classificate in termini di complessità applicativa crescente […] Pur in uno stato di attuale mancanza di indicazioni certe, e giuridicamente valide, sul reale vantaggio di utilizzare un approccio, una tecnica, una metodologia o, al limite, una modalità di rappresentazione del risk assessment, dal quadro tracciato sembra emergere l’opportunità concreta di scegliere un percorso di adesione alla conformità prevista dalla norma tanto più avanzato quanto più sia reale da parte dell’ente la volontà di dotarsi di uno strumento di organizzazione capace di prevenire efficacemente la realizzazione delle fattispecie di reato e, al contempo di costituire una valida prova nell’ambito del processo penale».
242 N. COSTANTINO - M. FALAGARIO, op. cit., p. 198; S. RAVASIO, op. cit., p. 231.
243 Linee Guida, di Confindustria, p. 29; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 264.
da un: sistema di prevenzione tale da non poter essere aggirato se non (in maniera fraudolenta)»244.
Una volta definito il livello di rischio accettabile, è necessario procedere alla determinazione del livello di rischio di ciascuna area sensibile. Il livello di rischio è definito dalla dottrina come il prodotto tra la probabilità di realizzazione dell’evento e il danno relativo245. Si
ritiene che il rischio sia inaccettabile in quelle aree in cui è presente o un’alta probabilità di verificazione dell’evento accompagnata da un livello medio del danno relativo, o una probabilità media dell’evento con un alto livello di danno relativo, ovvero, infine, un’alta probabilità dell’evento con un alto livello di danno relativo246.
L’ultimo step della mappatura del rischio è rappresentato dall’individuazione dei presidi già presenti 247 nell’organizzazione
societaria.
Quest’ultimo passaggio, così come l’individuazione delle aree sensibili, dovrebbe avvenire non solo sulla base dello studio della documentazione raccolta in prima battuta, ma dovrebbe basarsi anche sulle c.d. interviste. Si tratta di colloqui orali o questionari scritti rivolti ai responsabili delle funzioni societarie, in particolare coloro che sono dotati di responsabilità e delle conoscenze specifiche necessarie, i cui risultati vengono riportati in un verbale sottoscritto dagli stessi intervistati248.
244 Linee Guida, di Confindustria, p. 29.
245 T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., pp. 268-269. 246 Ibidem.
247 C. PIERGALLINI, Paradigmatica dell’autocontrollo penale (dalla funzione alla struttura del modello organizzativo ex d.lg. n. 231/2001). Parte II, in Cassazione penale, 2013, n. 2, p. 844, distingue, a proposito, il «rischio inerente» (determinato dall’assenza totale di controlli) e «rischio residuale» (calcolato sulla base dei controlli già presenti all’interno e rilevati nella fase in esame). Al riguardo si veda anche C. DE LUCA - R. DE LUCA, op. cit., p. 80, che delineano la suddetta dicotomia in «rischio lordo» e «rischio netto».
248 A. BERNASCONI, L’esimente: il modello organizzativo per i reati degli “apicali”, cit., p. 101; N. COSTANTINO - M. FALAGARIO, op. cit., p. 198, secondo i quali «le principali tecniche di identificazione utilizzate dal risk management si basano su interviste con persone di funzioni apicali, checklist, what-if analysis, diagrammi causa-
Il risultato di tutte queste attività può confluire in un documento, definito documento As is249, riguardante la situazione esistente al momento dell’inizio del procedimento di adozione.
L’ultima fase antecedente alla redazione in senso proprio del modello e, in particolare, dei protocolli è rappresentata dalla gap analysis; si tratta di una valutazione comparativa fra la situazione esistente nella società e i requisiti richiesti dalla normativa di settore. In altri termini, si deve effettuare un confronto fra l’“essere” dell’organizzazione della società e il “dover essere”, come risultante dall’interpretazione del decreto legislativo 231250.
3.2.1 Il procedimento di adozione del Modello organizzativo di UnipolSai Assicurazioni.
Si procede, adesso, all’analisi del modello di UnipolSai. Alla descrizione delle modalità di costruzione di questo sono dedicate le pagine da 24 a 26251.
Le prime operazioni compiute sono quelle di analisi della documentazione esistente, di individuazione delle funzioni aziendali interessate e di predisposizione della matrice processi/reati252.
Quest’ultima consiste in una tabella che è il risultato dell’incrocio fra i macro-processi in cui si esplica l’attività aziendale e i reati (raggruppati per macro-famiglie) che possono essere commessi nell’esercizio della stessa. Ad esempio, sono stati ritenuti come suscettibili di commissione
effetto, analisi SWOT, event tree analysis, Risk Breakdown Structure (RBS) e conseguente costruzione della matrice eventi/ minacce»; C. DE LUCA - R. DE LUCA, op. cit., p. 70.
249 C. DE LUCA - R. DE LUCA, op. cit., pp. 71 e 80; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 268.
250 A. BERNASCONI, L’esimente: il modello organizzativo per i reati degli “apicali”, cit., p. 102 definisce la gap analysis «operazione logica di sottrazione»; G. MAGLIOCCA, op cit., p. 49; C. DE LUCA - R. DE LUCA, op. cit., p. 88; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 269.
251 Come si vedrà nel par. 3 del capitolo III, l’indicazione delle modalità seguite per la redazione del modello confluisce nella parte generale dello stesso.
nell’esercizio delle funzioni di “gestione delle liquidazioni” i seguenti reati: delitti contro la Pubblica Amministrazione; reati societari; abuso di mercato e aggiotaggio; ricettazione, riciclaggio, autoriciclaggio e finanziamento del terrorismo; delitti di criminalità organizzata e reati transazionali.
La costruzione della matrice avviene secondo una precisa scansione