L’Organismo di Vigilanza è l’ente di controllo che ha una funzione chiave per accertare l’osservanza del Modello di Organizzazione e Gestione (MOG) in particolare da parte di quei soggetti che possono più facilmente violare le norme aziendali o i principi di onestà sottoscritti.
È noto, però, che tanto l’adozione del MOG quanto l’istituzione stessa dell’OdV, non costituiscono un obbligo di legge che, piuttosto, lascia liberi gli enti destinatari del Decreto se adottare o meno il sistema di prevenzione 231. Si tratta, dunque, di un mero impegno della società che si premunisce degli strumenti necessari ai fini dell’attivazione dell’esimente di cui all’art. 6 D.lgs.
Non v’è dubbio che in questi 20 anni l’aumento esponenziale dei reati presupposto della responsabilità dell’ente abbia modificato sensibilmente l’approccio delle aziende verso il MOG, mettendo a dura prova anche l’attività di vigilanza effettuata dall’OdV.
È per questo che sin dalle primissime applicazioni della normativa, la natura giuridica e la responsabilità dell’OdV, in caso di commissione di taluno dei reati presupposto previsti dal D.lgs. 231/2001 sono state oggetto di acceso dibattito, ma alla fine la dottrina penalistica, con il consenso della prassi giudiziale, ha escluso l’ipotesi della responsabilizzazione (anche) penale dei membri dell’OdV per omesso impedimento di tali reati.
Di recente, però, alcune sentenze (Tribunale di Milano sul caso MPS – operazioni Santorini ed Alexandria) hanno attirato l’attenzione dei giudici sul funzionamento e l’operato dell’OdV, sostenendo che la carente vigilanza da parte dell’organismo è sufficiente a fondare la responsabilità della società. Come noto, in tale vicenda, la banca era chiamata a rispondere degli illeciti amministrativi di cui agli artt. 25-ter Decreto 231, in relazione al delitto di false comunicazioni sociali delle società quotate e art. 2622 c.c. e 25-sexies, per il reato di manipolazione del mercato ai sensi dell’art. 185 T.U.F.
Come chiarito dal Tribunale, l’imputazione ai sensi del D.lgs. 231/2001 derivava dal fatto che le finalità, implicite ai reati commessi, consistevano nel garantire alla banca ingiusti profitti, ottenuti con l’alterazione dei bilanci attraverso l’erronea contabilizzazione delle operazioni strutturate. Nel caso richiamato la manipolazione rispondeva alla necessità di offrire agli investitori un rassicurante scenario societario che ispirasse affidabilità e fiducia, in termini di patrimonio e, in generale, di stabilità; la condotta fraudolenta consisteva, invece, nell’evitare che potessero rendersi noti i “rischi connessi all’esposizione in derivati di credito che avrebbero esposto la Banca alle imprevedibili oscillazioni di mercato, destinate a impattare sul risultato d’esercizio“.
Il Tribunale, ai fini della valutazione della responsabilità della società, ha evidenziato che “l’OdV pur munito di penetranti poteri di iniziativa e controllo, ivi inclusa la facoltà di chiedere e acquisire informazioni da ogni livello e settore operativo della banca, avvalendosi delle competenti funzioni dell’istituto, ha sostanzialmente omesso i dovuti accertamenti funzionali alla prevenzione dei reati, indisturbatamente reiterati..”.
Ancor più grave appare poi il successivo passaggio della pronuncia nel quale si dichiara che “l’OdV ha assistito inerte agli accadimenti, limitandosi a insignificanti prese d’atto, nella vorticosa spirale degli eventi che un più accorto esercizio delle funzioni di controllo avrebbe certamente scongiurato. Così, purtroppo, non è stato e non resta che rilevare l’omessa (o almeno insufficiente) vigilanza da parte dell’organismo, che fonda la colpa di organizzazione di cui all’art. 6 D.lgs. 231/2001”.
Dalla sentenza emerge come all’OdV è stato mosso un rimprovero per non aver preso le necessarie iniziative atte ad impedire il verificarsi dei reati presupposto; tali conclusioni suscitano, però, delle perplessità soprattutto rispetto a quanto previsto dal dettato normativo in punto di compiti dell’OdV.
In generale la normativa sul punto è estremamente laconica: nessuna previsione riguardo alle modalità di nomina dell’OdV; alla sua composizione; alle sue concrete regole di azione; ai rapporti con l’organo gestorio e gli altri protagonisti del sistema di controllo interno dell’ente; alla eventuale responsabilità personale dei suoi membri in caso di mancata o insufficiente vigilanza.
La norma prevede che, con il conferimento dell’incarico, il soggetto che ricopre il predetto ruolo assume il compito di:
-
- vigilare sulla corretta applicazione del modello organizzativo;
-
- analizzare i flussi informativi da parte dei soggetti destinatari dei protocolli di prevenzione previsti dal Modello;
-
- verificare periodicamente la diffusione del modello tra i suoi destinatari;
-
- curare l’aggiornamento e l’implementazione dello stesso;
-
- comunicare eventuali falle o distorsioni nell’applicazione dei modelli organizzativi da parte dei destinatari.
Come già accennato, all’Organismo di Vigilanza non vengono conferiti diretti poteri impeditivi né la possibilità di intervenire sulle scelte riguardanti l’organizzazione aziendale; ove dovesse riscontrare delle anomalie o mal funzionamenti relativi all’applicazione dei modelli di prevenzione contenuti nel MOG, l’OdV può solo riferire all’organo amministrativo o dirigenziale che avrà, dunque, l’onere di provvedere.
In sostanza all’OdV sono riconosciuti solo dei poteri propositivi, consultivi, istruttori e di impulso; non solo, ma la totale estraneità alle scelte gestionali è, proprio, l’essenza dell’OdV: l’Organismo di vigilanza può adempiere correttamente ai propri compiti solo nella misura in cui è separato rispetto alla gestione della società e verifica, in maniera indipendente, l’adozione e l’attuazione dei modelli organizzativi.
In assenza di espliciti obblighi – e dei correlativi poteri – di impedimento di reati, deve inoltre rimarcarsi che in capo ai membri dell’Organismo di Vigilanza non possa configurarsi una posizione di garanzia, idonea a fondare la responsabilità per omesso impedimento dell’evento lesivo, ai sensi dell’art. 40 cpv. c.p.; il principio di equivalenza sancito dal co. 2 dell’art. 40 c.p. stabilisce, infatti, che il reato omissivo improprio possa configurarsi esclusivamente in presenza di una norma giuridica espressa che imponga a determinati soggetti l’obbligo di impedire uno specifico evento, attribuendo i rispettivi poteri
Una norma di questo tenore manca con riferimento all’Organismo di Vigilanza: il D.lgs. 231/2001 assegna all’OdV l’obbligo di prevedere meccanismi di verifica dell’implementazione del MOG ed un sistema disciplinare. L’art. 7, co. 4 prevede, infatti, che «l’efficace attuazione del modello richiede: a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività; b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello», senza fare alcun cenno a obblighi di impedimento dei reati presupposto.
Seguendo il dettato normativo ne consegue che i compiti dell’OdV sono di generica prevenzione, prospettici e organizzativi, non volti ad impedire singoli eventi lesivi. Va inoltre rilevato che il compito di vigilanza è assegnato all’organismo nel suo complesso, nella sua veste istituzionale (e, il più delle volte, collegiale), non ai singoli membri: un’ulteriore indicazione nel senso di escludere la sussistenza di una posizione di garanzia in capo ai componenti dell’OdV, atteso che gli obblighi imposti ad un soggetto collettivo non possono tradursi, automaticamente, in imposizioni a carico delle singole persone fisiche che ne fanno parte.
In sostanza, come affermato da autorevole dottrina, l’Organismo di Vigilanza ha una «finalità preventiva indiretta», poiché ha il compito di «assicurare l’effettività dei modelli di organizzazione e di gestione adottati», non quello di «prevenire concreti episodi delittuosi». La vigilanza sul Modello non si estrinseca, allora, nel controllo sui singoli atti di gestione, ma deve piuttosto assolvere ai seguenti compiti:
-
- vigilanza sulla coerenza tra i comportamenti concreti e il modello istituito;
-
- esame dell’adeguatezza del modello, ossia della sua reale – non già meramente formale – capacità di prevenire i comportamenti vietati;
-
- analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del MOG curando il necessario aggiornamento in senso dinamico del modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti.
Qualora riscontri criticità e difetti del modello organizzativo, l’OdV non può intervenire direttamente ma riferisce all’organo di gestione, che provvede eventualmente a deliberare e ad adottare le misure correttive necessarie.
Questa scelta appare coerente rispetto all’esigenza di rispettare l’autonomia privatistica degli enti all’interno di un perimetro normativo (quello del Decreto 231) la cui dichiarata ratio è quella di coinvolgere gli enti medesimi in una attività di prevenzione di alcune fattispecie di reato, indirizzando complessivamente in maniera virtuosa l’esercizio dell’impresa.
Alla luce di tali argomentazioni appare, quindi, estremamente importante per gli addetti ai lavori e soprattutto per coloro che svolgono le funzioni di membro dell’Organismo di Vigilanza l’esercizio effettivo delle attività di verifica e controllo previste dalla normativa come anche il costante mantenimento dei requisiti di indipendenza, autonomia e continuità di azione.
Va infatti notato che l’azione di controllo dell’OdV non può essere considerata efficace se e solo se impedisce il verificarsi di uno dei reati previsti dal D.Lgs. 231/2001: se così fosse ne deriverebbe che un Modello efficacemente attuato non permetterebbe la commissione di alcun reato e, per contro, che qualora venisse commesso un reato presupposto superando le “difese” previste dal Modello, questo risulterebbe immediatamente “non efficace”, facendo venire meno qualsiasi speranza (e fondamento giuridico) di esenzione dalle sanzioni previste dal D.Lgs. 231/2001.
Insomma, il Modello può fallire dall’impedire effettivamente il compimento del reato, senza tuttavia essere considerato non efficace ed efficacemente attuato; ciò significa che anche l’OdV, pur con un’azione di controllo definibile adeguata, potrebbe non impedire la commissione del reato.
Ma allora, qual è il livello di controllo da parte dell’Organismo di Vigilanza ritenuto efficace e adeguato, ossia, in altri termini, qual è il livello di accettabilità del rischio di reato previsto dal D.Lgs. 231/2001?
In generale, la risposta a questa domanda è insita nelle modalità messe in atto dal soggetto o dai soggetti che commettono il reato: qualora l’azione del reo sia considerabile “fraudolenta”, ossia volontariamente tesa a sfuggire ai controlli, ad esempio per mezzo di dichiarazioni false, omissioni di informazioni, insomma, attraverso un percorso che non solo viola “frontalmente” precetti di comportamento onesto ed etico previsti dall’azienda, ma “aggira” gli ostacoli e divieti, in tal caso siamo certamente di fronte ad una condotta “fraudolenta”.
Verso questa condotta l’azione di controllo dell’Organismo di Vigilanza può ritenersi possa fallire non per mancanza di un’adeguata attività di controllo.
Da qui l’importanza che il Modello definisca chiaramente i compiti e i poteri dell’OdV e soprattutto gli obblighi di trasmissione di tutte le informazioni “sensibili” verso tale organo, studiando in particolare i flussi di elementi e informazioni che possano consentire all’OdV di cogliere una situazione che possa determinare un reato o, altrimenti, che obblighino i soggetti a comportamenti fraudolenti per poter concretamente portare a conclusione il reato.
In tal senso, si segnala la criticità rappresentata dalla previsione dell’art. 6 comma 4 del D. Lgs. 231/2001, che consente “negli enti di piccole dimensioni” di far svolgere i compiti propri dell’Organismo di Vigilanza direttamente dall’organo dirigente: è evidente la difficoltà di rendere efficace nei confronti dei soggetti apicali (si pensi ad esempio al datore di lavoro amministratore unico di una società) un’azione di controllo svolta da un organo aziendale costituito in parte i completamente dagli stessi soggetti controllati.
Va ribadito che l’Organismo di Vigilanza non deve essere inteso come un’entità separata dal Modello, un elemento che si aggiunge dotato di propria vita autonoma e di poteri assoluti primordiali, ma è un elemento del Modello, che avrà tutti e soli i poteri e i compiti che il modello stesso avrà indicato.
L’art. 6 del D. Lgs 231/2001 prevede che in relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i Modelli devono rispondere alle seguenti esigenze:
-
-
- individuare le attività nel cui ambito possono essere commessi reati
- prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire
- individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati
- prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli e introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
-
Pertanto, i principali elementi che un Modello dovrà contenere sono:
-
-
- un’analisi del rischio di reato, ossia una identificazione dei reati che potrebbero essere commessi, delle modalità e delle aree aziendali nei quali tali reati potrebbero avvenire, associando ad un ognuno dei casi una misura di rischio, connessa ad una probabilità di accadimento e ad una gravità attesa
- dei protocolli, cioè delle modalità operative per la programmazione e il compimento dei processi aziendali, finalizzati a prevenire la commissione dei reati individuati nella precedente analisi
- degli obblighi di informazione nei confronti dell’Organismo di Vigilanza (OdV)
- un sistema disciplinare che preveda sanzioni per ogni soggetto coinvolto nei processi aziendali a rischio di reato.
-
Come sopra accennato, per consentire all’OdV di svolgere un’efficace azione di controllo e vigilanza sul Modello, sono fondamentali i flussi informativi, indicati al punto 3 del precedente elenco.
Tali flussi informativi:
• da un lato consentono all’OdV di disporre di indicatori del funzionamento del MOG e di rilevare eventuali situazioni che potrebbero configurare un rischio di reato o un comportamento teso a violare i protocolli aziendali
• dall’altro determinano una rete di controlli impliciti e incrociati che obbligano, chi volesse commettere un reato, di intraprendere un percorso non solo di violazione delle norme imposte dal Modello, ma anche di adottare comportamenti tesi a celare tale obiettivo anche per mezzo di omissione delle informazioni fornite o di comunicazione di dati incompleti o errati.
In sostanza, con un sistema di flussi informativi imposti dal Modello di Organizzazione e Gestione (MOG) e ben strutturato, la violazione fraudolenta dei protocolli diverrebbe l’unico modo per infrangere le regole e perpetrare un reato.
Per quanto, ad oggi, come già detto, non esistono reati propri dei comportamenti dell’Organismo di Vigilanza, ci sono due casi in cui è possibile, quantomeno che il singolo componente dell’OdV ponga in essere una condotta penalmente rilevante:
-
-
- la commissione da parte del singolo membro di un reato presupposto in qualità di autore;
- il caso in cui il singolo membro dell’OdV fornisca un contributo materiale o rafforzi il proposito criminoso di un organo o dipendente che poi diventi autore di un reato presupposto.
-
Come si è già avuto modo di approfondire, l’Organismo di Vigilanza non assume la qualifica di organo endosocietario, ma di unità organizzativa dell’ente, da ciò derivando l’inconfigurabilità di una responsabilità extracontrattuale, fatte salve ovviamente le ipotesi di concorso nel reato medesimo!
E’, invece, ipotizzabile una responsabilità contrattuale, in ragione dei possibili pregiudizi scaturenti in caso di accoglimento delle domande avanzate dal terzo verso l’ente a titolo extracontrattuale.
Con l’atto di nomina dell’OdV, tra i componenti dello stesso e l’ente s’instaura un rapporto contrattuale di prestazione di opera cui si applicheranno ragionevolmente le norme generali in materia di responsabilità da inadempimento contrattuale.
Ai sensi dell’art. 1218 c.c., l’ente che agisca contro un membro dell’Organismo di Vigilanza sarà tenuto a dimostrare:
-
-
- l’inadempimento o la violazione di un obbligo imposto (violazione del canone della diligenza professionale di cui all’art. 1176c.c.);
-
-
-
- la sussistenza di un danno ingiusto;
-
-
-
- il nesso causale.
-
