MOG e pmi: i rischi di una semplificazione colpevole

Il D. Lgs. n. 231/2001, recante la disciplina in materia di “Responsabilità amministrativa degli enti dipendente da reato”, ha costituito, fin dalla sua introduzione, oggetto di interesse e di intervento sia da parte del legislatore – con una serie di novazioni legislative volte, perlopiù, ad ampliare il novero dei reati presupposto – sia da parte della giurisprudenza, chiamata a chiarirne il contenuto e la portata. Sulla scorta delle modifiche così introdotte, lo scorso luglio Confindustria ha aggiornato le Linee Guida – inizialmente redatte nell’anno 2002 e successivamente riviste nell’anno 2008 – al fine di fornire, alle imprese destinatarie del decreto, importanti indicazioni in ordine alla costruzione dei “MOG – modelli di organizzazione, gestione e controllo”.

Il ruolo cruciale dei MOG nel “sistema 231”, quale strumento idoneo a prevenire il rischio di reato e, conseguentemente, a consentire un esonero di responsabilità in capo alle imprese, permette di comprendere l’importanza delle Linee Guida, quale punto di riferimento per gli enti destinatari della disciplina de societate. In proposito, merita una particolare riflessione la parte riservata alle “piccole imprese”, in ordine alle quali il Gruppo di Lavoro ha proposto delle procedure semplificate in rapporto al profilo dimensionale.

La scelta di semplificare i MOG per le realtà aziendali ridotte è stata avvertita sin dalla prima fase di stesura delle Linee Guida, le quali – nonostante i numerosi, ed anche recenti, interventi in materia di pmi – sono, tuttavia, rimaste invariate sul punto. Il movente di tale scelta è da individuarsi all’interno della normativa di cui al D. Lgs. n. 231/2001, il quale, all’art. 6, comma 4, prevede – per le imprese di piccole dimensioni – la possibilità di affidare la vigilanza sul funzionamento e sull’osservanza dei modelli al medesimo organo dirigente, evitando l’istituzione di un organismo ad hoc.

Nella costruzione del MOG, la prima fase consiste nell’individuazione dei rischi: è questa la cosiddetta “mappatura”, svolta mediante l’analisi delle attività che costituiscono l’oggetto sociale dell’ente e dei soggetti cui sono conferiti i relativi poteri gestori. La successiva fase di “VDR – verifica dei rischi” consiste nell’individuazione di eventuali zone a rischio di reato (cd. “attività sensibili”), da condursi facendo riferimento al catalogo dei reati presupposto di cui alla “parte speciale” del D. Lgs. n. 231/2001. Sulla scorta di questo processo viene elaborato il modello, composto da una serie di protocolli contenenti le concrete misure di prevenzione in ordine al rischio di reato proprio della specifica impresa. Il modello, per essere “efficacemente attuato” e “correttamente funzionante” come richiesto dalla normativa, dev’essere costantemente monitorato e, ove necessario, aggiornato.

Secondo la semplificazione proposta per le pmi nelle Linee Guida, tutte le attività suesposte potrebbero essere affidate ad un unico soggetto, l’organo dirigenziale, chiamato a curare l’adozione, l’attuazione ed il monitoraggio del modello. Una simile semplificazione, rectiusstandardizzazione – che sembra relativa non tanto al modello in sé quanto più alle relative competenze – viene fondata sulla base del solo requisito dimensionale, ponendo in secondo piano l’attenzione ai settori operativi dell’ente. È da ritenere, invece, che la scelta di un modello “semplificato” possa operarsi solo dopo aver verificato se, alla luce dell’attività svolta e dei relativi profili di rischio dell’impresa, sia possibile, o meno, concentrare su un unico soggetto l’attuazione del modello e la verifica sul suo corretto funzionamento ovvero se, non sia preferibile, ripartire le competenze secondo il modello “di base” di cui all’art. 6 comma 1, che distingue infatti tra “organo dirigente” ed “organismo di vigilanza”.

L’aspetto di primaria e fondamentale importanza non è tanto quello dimensionale, ma quello relativo alla specifica sfera di attività: se la funzione del modello è quella di prevenire il rischio di reato, in un’impresa di dimensioni sì ridotte ma con attività fortemente a rischio, la vigilanza sul suo funzionamento è bene che sia affidata ad un soggetto diverso da quello deputato alla sua adozione ed attuazione. Ciò non sembra poter essere contraddetto affermando che nelle piccole imprese il potere gestorio e rappresentativo è, di norma, affidato ad un unico soggetto: di contro, tale circostanza rende tanto più opportuno affidare l’attività di controllo o ad un organismo esterno (così da evitare qualsiasi ipotesi di collusione con i vertici aziendali) o ad un soggetto interno, ma che rivesta ruoli e posizioni diverse.

Di recente, la stessa Corte di Cassazione (sent. n. 4677/2014) ha chiarito che la valenza dei modelli organizzativi e gestionali dev’essere valutata in rapporto alla specifica realtà aziendale, e prescinde dalla conformità alle linee guida od ai codici di comportamento redatti dalle associazioni rappresentative, quali Confindustria. I modelli illustrati in tali documenti non presentano di certo “il crisma della incensurabilità”, per cui le imprese dovranno aderirvi con una certa cautela, verificando prima se – in rapporto all’attività espletata – possano ritenersi sufficienti dei modelli “standard”.

Sembra che la semplificazione abbia quindi condotto alla prospettazione di un modello che, se adottato acriticamente, rischia di non produrre la propria efficacia preventiva ed esimente della responsabilità dell’impresa: infatti, affidando l’intera attività di “compliance” all’organo dirigente, le omissioni di quest’ultimo – indifferentemente in fase di adozione o di successivo monitoraggio del modello – determinerebbero, in maniera quasi automatica, la responsabilità dell’ente.