di cui all'art. 11 della legge 29 settembre 2000 n. 300 - il Decreto Legislativo 8 maggio 2001 n. 231 (di seguito denominato anche il
"Decreto" o "D. Lgs. 231/2001"), entrato in vigore il 4 luglio successivo, che ha inteso adeguare la normativa interna in materia di responsabilità delle persone giuridiche ad alcune Convenzioni internazionali a cui l'Italia aveva già da tempo aderito, ed in particolare:
la Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità Europee;
la Convenzione anch'essa firmata a Bruxelles il 26 maggio 1997 sulla lotta alla corruzione di funzionari della Comunità Europea o degli Stati membri;
la Convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche e internazionali.
Il Decreto ha introdotto nell'ordinamento giuridico la responsabilità amministrativa degli enti per gli illeciti dipendenti da reato. Le disposizioni in esso previste si applicano agli "enti forniti di personalità giuridica e alle società e associazioni anche prive di personalità giuridica" (di seguito anche solo "enti').
- 7 -
Tale nuova forma di responsabilità, sebbene definita
"amministrativa" dal legislatore, presenta tuttavia taluni caratteri propri della responsabilità penale, essendo ad esempio rimesso al giudice penale competente l'accertamento dei reati dai quali essa deriva ed essendo estese all'ente le garanzie del processo penale.
***
Nello specifico, in via innovativa rispetto al passato, il Decreto 231/2001 stabilisce che ogni ente, con o senza personalità giuridica e con la sola eccezione di alcuni enti di rilievo pubblicistico, è potenzialmente soggetto alle sanzioni dal medesimo decreto previste qualora:
sia stato commesso un reato rientrante tra quelli significativi da parte di soggetti appartenenti all’ente e, cioè: da (i)persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché persone che esercitano, anche di fatto, la gestione ed il controllo della stessa (c.d. soggetti o persone apicali); (ii) persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera (i);
il reato commesso rientri tra quelli tassativamente elencati nel predetto Decreto. Pur non essendo ricompresi formalmente nel Decreto, la responsabilità amministrativa-penale delle società è stata estesa anche ai reati transnazionali previsti dalla Legge 16 marzo 2006 n. 146 e, quindi, alle fattispecie delittuose concernenti l’associazione per delinquere, di natura semplice o mafiosa, il riciclaggio, il traffico di migranti e l’intralcio alla giustizia, purché commesse in più di uno Stato.
L'ente non può essere ritenuto responsabile se le persone sopra indicate hanno agito nell'interesse esclusivo proprio o di terzi.
- 8 -
Oltre all'esistenza degli elementi oggettivi e soggettivi sopra descritti, il D.Lgs. 231/2001 richiede anche l'accertamento della colpevolezza dell'ente, al fine di poterne affermare la responsabilità. Tale requisito è in definitiva riconducibile ad una "colpa di organizzazione", da intendersi quale mancata adozione, da parte dell'ente, di misure adeguate a prevenire la commissione dei reati elencati al successivo paragrafo, da parte dei soggetti individuati nel Decreto.
La responsabilità amministrativa dell'ente è, quindi, ulteriore e diversa da quella della persona fisica che ha, materialmente, commesso il reato. Entrambe costituiscono oggetto di accertamento nel corso del medesimo procedimento innanzi al giudice penale.
Peraltro, la responsabilità dell'ente permane anche nel caso in cui la persona fisica autrice del reato non sia identificata o non risulti punibile.
La responsabilità dell'impresa può ricorrere anche se il delitto presupposto si configura nella forma di tentativo (ai sensi dell'art.
26 del D. Lgs. 231/2001), vale a dire quando il soggetto agente compie atti idonei diretti in modo non equivoco a commettere il delitto e l'azione non si compie o l'evento non si verifica.
Ai sensi degli articoli 5 e 6 del Decreto 231/2001, sono fattori costitutivi del c.d. scudo protettivo:
l’adozione e l’efficace attuazione, prima della commissione del reato, di un documento complesso interno definito modello di organizzazione e gestione, quale ambisce essere il presente atto, idoneo a svolgere, secondo i criteri normativi applicabili, adeguata azione preventiva rispetto alla commissione dei reati della specie di quello verificatosi;
la nomina e l’operatività di un precisato organismo dell’ente (c.d. Organismo di Vigilanza) dotato di autonomi poteri di
- 9 -
iniziativa e di controllo, avente il compito di vigilare sul funzionamento e l’osservanza del predetto modello di organizzazione e gestione e di curare il suo aggiornamento.
Per ciò che attiene al rapporto tra soggetti c.d. apicali e modello, è importante sottolineare come nel caso concreto l’ente deve altresì, al fine di non incorrere in responsabilità, dimostrare in giudizio, nel caso di azione avversa: (i) che nel commettere il reato costoro si siano volontariamente e fraudolentemente sottratti alle prescrizioni contenute nel modello; (ii) che non vi sia stata omessa o insufficiente sorveglianza da parte dell’Organismo di Vigilanza .
Per entrambi i primi due fattori costitutivi del modello si impone, quindi, una piena dimostrazione di concreta operatività, anche in via di fatto. Risulteranno, inoltre, decisive le circostanze reali del fatto di reato.
Relativamente ai soggetti non apicali, la presenza del modello esclude, presuntivamente (e ciò non va quindi dimostrato caso per caso), ogni forma di responsabilità amministrativo-penale dell’ente.
E’, in tale ipotesi, l’Autorità procedente ad avere l’onere processuale di provare l’eventuale inadeguatezza ed inidoneità del modello medesimo.
***
Il presente documento costituisce la formalizzazione concreta del Modello della Cy4gate ed è il frutto di un’apposita attività di analisi condotta all’interno della Società, con il precipuo scopo di dotarla dell’idoneo strumento citato, realizzato per essere in grado di
- 10 -
affrancare la medesima dall’applicazione delle regole sanzionatorie di responsabilità amministrativa previste dal Decreto 231/2001.
L’adeguatezza del Modello è, pertanto, assicurata dalla sua aderenza e coerenza con la realtà aziendale regolamentata, cui ogni prescrizione del documento è riferita.
In tale ottica, l’elaborazione del Modello e la definizione delle sue componenti normative sono connesse alle risultanze aziendali relative alla struttura organizzativa della Società, nonché alla normativa di riferimento ed ai rischi giuridici riconducibili alla conduzione delle operazioni tipiche del settore economico interessato.
A tal riguardo, sono state effettuate (a) apposite interviste conoscitive nei confronti di talune delle principali funzioni aziendali nonché (b) l’analisi della documentazione specifica riguardante la situazione organizzativa ed economica della Società ed, infine, (c) l’analisi dell’apparato di procedure e del connesso sistema di controlli di cui la Società si è già dotata.
In particolare, tali attività conoscitive hanno riguardato da un lato l’articolato sistema di procedure e controlli di cui alla normativa interna, ed il sistema di controllo contabile affidato ad apposita Società di Revisione esterna, il sistema di controllo interno di gestione ed il sistema di controllo adottato ai fini della sicurezza del lavoro (Documento di Valutazione dei Rischi).
All’esito di tali verifiche, si è ritenuto opportuno creare una struttura del Modello che - in un’ottica di ottimizzazione delle risorse sociali ed anche al fine di ottenere un virtuoso contenimento dei costi e i benefici derivanti alla Società dal proprio adeguamento al sistema di organizzazione e gestione di cui al Decreto 231/2001 - fosse in grado di recepire i meccanismi di compliance già in essere presso la
- 11 -
Società, adeguandoli e/o integrandoli ove necessario rispetto alle finalità di cui al medesimo Decreto 231/2001.
Pertanto, il Modello della Cy4gate costituisce in primo luogo uno strumento di raccordo tra i processi, le misure e le procedure operative di cui la Società si è già dotata (valorizzandoli appunto anche ai fini del Decreto 231/2001) e, in secondo luogo, ove necessario ed al fine di regolamentare eventuali aree di rischio risultate non sufficientemente controllate dai predetti sistemi già presenti, un sistema di nuove ed opportune regole utili al miglioramento ed al completamento dell’apparato organizzativo interno. Conseguentemente il Modello, oltre che intervenire direttamente nelle aree non monitorate dai predetti advisors, realizza un coordinamento tra gli attuali responsabili (interni o esterni) del controllo (advisors), con conseguenti proficue sinergie. A tale ultimo scopo, è previsto che l’Organismo di Vigilanza, nello svolgimento delle funzioni sue proprie come definite dall’art. 6 del Decreto 231/2001, sia coadiuvato - quale organo referente e soggetto collettore delle rispettive attività, istanze e segnalazioni - dagli advisors e dagli altri attori del controllo interno ed esterno con i quali si relaziona.