Il ruolo dell’organismo di vigilanza nelle procedure di accertamento dell’illecito

Per poter assolvere ai propri compiti, l’Organismo di Vigilanza (ODV) deve essere dotato, come specifica l’art. 6, 1° comma, lett. b), d.lgs. n. 231/2001, di autonomi poteri di iniziativa e di controllo, quindi di strumenti adeguati per poter verificare l’idoneità e la concreta attuazione delle procedure codificate, all’interno del Modello adottato dall’ente, per la prevenzione degli illeciti in ciascuna delle aree di rischio individuate. Il corretto ed efficace svolgimento di detta attività, necessariamente legata all’adozione del Modello, assieme alla prova che non vi è stata omessa o insufficiente vigilanza da parte dell’ODV, potrà permettere all’ente l’esonero dalla responsabilità in caso di procedimento che lo veda indagato o imputato per un reato presupposto commesso nel suo presunto interesse e/o vantaggio.

L’ODV, infatti, dovrebbe svolgere la propria attività e, soprattutto, pensare a come documentare la stessa, nella prospettiva che possa diventare “la prova” della non omessa o insufficiente vigilanza sul funzionamento e osservanza del Modello; prova da dover produrre in un procedimento penale volto ad accertare – e a escludere, dal punto di vista difensivo – la c.d. colpa di organizzazione dell’ente (si pensi, al riguardo, all’inversione dell’onere della prova “assolutoria” nel caso di reato commesso da un apicale, in base al disposto dell’art. 6, comma 1, d.lgs. 231/2001).

Dalle scarne indicazioni legislative, si può ricavare che per poter efficacemente operare in tal senso, fondamentale risulta l’autonomia dell’ODV nei confronti degli organi di direzione e amministrazione dell’ente, la quale deve caratterizzare le fasi dell’“iniziativa” e del “controllo” sulla corretta attuazione del Modello. Invero, non si deve dimenticare che nell’attività ordinaria l’ODV potrebbe imbattersi in violazioni di protocolli o procedure organizzative previste dal Modello che abbiano avuto, possano avere, o stiano avendo rilievo penale; la conoscenza di tali violazioni da parte dell’ODV potrebbe verificarsi, quindi, ancor prima di quella degli organi inquirenti. Si capisce, pertanto, del perché l’ODV dovrà essere munito della capacità di decidere cosa, quando, e come esplicare la propria fondamentale funzione di controllo, agendo in modo indipendente dalle altre funzioni ed organi di vertice dell’ente, in quanto proprio questi ultimi potrebbero diventare destinatari dell’attività ispettiva volta ad assicurare, pur sempre e soltanto, il funzionamento e l’osservanza del Modello adottato.

Senza dimenticare, comunque, che l’ODV ha un obbligo contrattuale nei confronti dell’ente discendente dalla sua nomina; di conseguenza, il mancato svolgimento delle attività di controllo e vigilanza sull’attuazione del Modello, potrebbe esporre i membri dell’ODV a ipotesi di responsabilità contrattuale verso l’ente nel caso sia riconosciuta, in ambito processuale, la responsabilità amministrativa di quest’ultimo “per omessa o insufficiente vigilanza”, con conseguenze civilistiche in ordine al risarcimento dei danni nei confronti della società; inoltre, e in extremis, non è da escludere che i membri dell’ODV possano esporsi alla possibile contestazione del reato di favoreggiamento o concorso nel reato presupposto per aver agevolato, mediante omissioni, l’attività illecita del soggetto autore dello stesso.

Un elenco di attività di verifica sul funzionamento e osservanza del Modello ex art. 6, comma 1, d.lgs. 231/2001 è stata data in passato dalla giurisprudenza[1], ed è stata poi ripresa dalle Linee Guida di Confindustria che, nella versione aggiornata al marzo 2014, nel sottolineare l’importanza della previsione, all’interno dei Modelli, dell’obbligatorietà dei flussi informativi verso l’ODV al fine di consentire a quest’ultimo lo svolgimento delle attività di cui al Decreto (artt. 6 e 7), hanno precisato come “l’obbligo di informazione è stato probabilmente previsto anche allo scopo di conferire maggiore autorevolezza alle richieste di documentazione che si rendono necessarie all’Organismo di vigilanza nel corso delle sue verifiche. Guardando anche alle esperienze straniere e in particolare alle Federal Sentencing Guidelines statunitensi e ai relativi Compliance Programs, l’obbligo di informazione dovrà essere esteso anche ai dipendenti che vengano in possesso di notizie relative alla commissione dei reati, in specie all’interno dell’ente, ovvero a “pratiche” non in linea con le norme di comportamento che l’ente è tenuto a emanare […] nell’ambito del Modello disegnato dal decreto 231 (i cd. codici etici)”.

Non ci si può esimere dal rilevare, come da queste indicazioni discenda l’attribuzione in capo all’ODV di una vera e propria funzione inquirente volta a indagare – e non a prevenire – la commissione di reati presupposto da parte degli organi e soggetti che si trovano in rapporto funzionale con l’organizzazione dell’ente[2].

Un ruolo sempre più di garante della legalità interna all’ente – e che ha portato anche all’espressa previsione di una responsabilità di carattere penale in capo ai membri dell’ODV – deriva dal ruolo assegnato a tale organo aziendale dal d.lgs. 231/2007 in tema di prevenzione dei fenomeni di riciclaggio e finanziamento del terrorismo. L’art. 52, comma 1, d.lgs. 231/2007 affida il compito di vigilare sull’osservanza delle norme del medesimo decreto anche all’Organismo di Vigilanza delle banche e degli altri intermediari finanziari ed enti soggetti alla disciplina del d.lgs. 231/2001, il quale risulta essere destinatario di una serie di obblighi di segnalazione nei confronti di varie autorità pubbliche. In tal modo si è imposto, per la prima volta, un obbligo di comunicazione diretta anche in capo all’ODV, la cui violazione può essere sanzionata penalmente con la reclusione fino a un anno e con la multa da 100 a 1.000 euro. In sostanza, l’ODV ai sensi dell’art. 52, d.lgs. 231/2007, dovrà:

• Comunicare alle autorità di vigilanza le violazioni delle disposizioni emanate dalle medesime, relative alle modalità di adempimento degli obblighi di adeguata verifica del cliente, all’organizzazione, alla registrazione, alle procedure e ai controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio o di finanziamento del terrorismo;
• Comunicare al titolare dell’attività le infrazioni delle disposizioni relative all’obbligo di segnalazione delle c.d. operazioni sospette, che la normativa riferisce sia alle operazioni aventi ad oggetto denaro/utilità di sospetta provenienza dai delitti di riciclaggio sia a quelle aventi ad oggetto denaro/utilità che si sospetta possano essere destinati al finanziamento del terrorismo;
• Comunicare al Ministero dell’Economia e delle Finanze le infrazioni delle disposizioni relative alle limitazioni all’uso del contante e dei titoli al portatore e relative al divieto di conti e libretti di risparmio anonimi o con intestazione fittizia;
• Comunicare all’Unità di Informazioni Finanziaria (UIF) le infrazioni delle disposizioni relative alla conservazione dei documenti e alla registrazione delle informazioni acquisite per assolvere agli obblighi di adeguata verifica della clientela.

È consigliabile, quindi, che i Modelli 231, predisposti da quei soggetti destinatari delle disposizioni contenute nel d.lgs. 231/2007 (banche, intermediari finanziari, società di cambi, ecc.), laddove disciplinano le attività dei propri Organismi di Vigilanza connesse agli obblighi di comunicazione ex articolo 52, d.lgs. 231/2007, prevedano una specifica reportistica da parte dell’ODV al Collegio Sindacale sulle eventuali segnalazioni effettuate ai sensi della normativa antiriciclaggio, prevedendo idonee modalità di archiviazione anche al fine di esimersi da ipotesi di responsabilità di carattere penale.

In virtù, quindi, della sensibilità delle notizie che possono, e in alcuni casi devono, essere riportate all’ODV, e da quest’ultimo agli organi societari o istituzionali, è chiaro che le interferenze dell’attività di quest’ultimo con l’attività di indagine degli organi inquirenti della magistratura in fase di accertamento dei reati presupposto, possono essere molteplici: si pensi solo ai casi in cui si procede all’implementazione di Modelli post delictum per il riconoscimento dell’attenuante di cui all’art. 12, d.lgs. 231/2001, e pertanto necessariamente redatti, approvati e implementati prima che il processo penale si celebri in sede dibattimentale; o ai casi di aggiornamento del Modello per violazioni dello stesso. In entrambe le ipotesi, i membri dell’ODV si possono trovare a dover effettuare interviste con persone coinvolte nel fatto reato, semplici testimoni o presunti indagati, oppure ad acquisire ed esaminare documentazione oggetto del fatto reato, come email interne, segnalazioni o mancate segnalazioni, contratti e flussi finanziari[3].

Anche le eventuali sanzioni disciplinari irrogate dall’ente ai propri dipendenti costituiscono materiale oggetto di indagine da parte della Magistratura, e forniscono un’utile prova allo stesso ente in sede di verifica dell’efficacia del Modello. Invero, il sistema disciplinare “idoneo a sanzionare il mancato rispetto delle misure” ex art. 6, comma 2, lett. e), d.lgs. 231/2001 è elemento essenziale del Modello stesso, e come affermato dalla giurisprudenza, “un Modello che non preveda espressamente sanzioni disciplinari per gli amministratori, direttori generali e compliance officier colpevoli di negligenza o imperizia nell’individuare ed eliminare violazioni del Modello e/o commissione dei reati deve ritenersi lacunoso con conseguente non configurabilità dello stesso quale esimente per l’ente”[4]. Rilevanti, pertanto, saranno anche le comunicazioni dell’ODV al vertice aziendale indicanti la necessità di sanzionare disciplinarmente un dipendente qualora si sia accertata da parte dello stesso la violazione del Modello, che faranno ovviamente parte della documentazione riservata e accuratamente archiviata da parte dell’ODV.

Non bisogna dimenticare, poi, che il compito della polizia giudiziaria in sede di accertamento dell’illecito, è proprio quello di “stimare la completezza, soprattutto in termini di qualità, e la tempestività delle informazioni destinate all’organismo di controllo, allo scopo di constatare l’effettivo funzionamento dei meccanismi di prevenzione predisposti e la concreta capacità di reazione del citato organismo di vigilanza nello specifico contesto”[5]. L’attività degli organi inquirenti sarà, quindi, soprattutto rivolta a “verificare anche la conformità dei comportamenti concreti rispetto alle regole del modello atteso che le caratteristiche dello stesso talvolta possono di fatto concretizzarsi in una mera sovrastruttura formale, dando luogo alla mancata osservanza di regole, meccanismi e dispositivi”[6]. Non stupisce, quindi, l’eventualità che in fase di indagini la polizia giudiziaria possa acquisire documentazione contabile ed extracontabile anche tramite richiesta diretta ai membri dell’ODV oltre, ovviamente, alla possibilità di acquisire altri elementi informativi, anche di natura testimoniale, in relazioni a precedenti eventuali violazioni del Modello.

Sarà fondamentale, pertanto, che l’attività svolta dall’ODV sia adeguatamente registrata e documentata, e la relativa documentazione custodita dallo stesso ODV, in modo che ne sia assicurata la riservatezza, anche nel rispetto della normativa in materia di protezione dei dati personali (privacy).

Di norma, le attività dell’ODV trovano formale rilevazione mediante i seguenti documenti:

• verbali delle riunioni e delle attività dell’ODV;
• rapporti alle parti interessate (CdA o altro);
• registro delle segnalazioni.

L’ODV, inoltre, deve pianificare la propria attività di controllo tramite apposito documento basato principalmente sull’analisi dei rischi (reati presupposto) e aggiornato periodicamente, oltre a dotarsi di un proprio regolamento interno che ne disciplini le attività.

Tutti questi documenti, oltre alla verbalizzazione delle interviste effettuate al personale dipendente – sia che vengano effettuate in occasione di violazioni del Modello, sia, invece, in occasione della sola verifica ordinaria sulla funzionalità dello stesso – acquistano fondamentale importanza nel contesto dell’indagine giudiziaria volta ad accertare la colpa di organizzazione dell’ente.

Come appena accennato, infatti, tutta la documentazione dell’attività dell’ODV, sia essa svolta direttamente dai suoi membri o da consulenti appositamente nominati, è documentazione societaria sequestrabile o che, comunque, la società potrebbe essere costretta a consegnare in caso di richiesta da parte degli organi inquirenti o del Giudice. In molti casi, si tratta di documentazione che non è possibile stabilire, a priori, se sia a favore o contro l’Ente, considerato che in caso di sequestro o di richiesta dell’A.G. non vi è, il più delle volte, possibilità di scelta di quali atti offrire al PM. Potrebbe pertanto accadere che siano sequestrati o semplicemente richiesti all’organo amministrativo i report dell’ODV relativi alle segnalazioni dei comportamenti oggetto di indagine; tuttavia, potrebbe anche succedere che in un report sia inserito anche il riferimento a un fatto relativo a un altro reato che nulla ha a che vedere con il fatto reato per cui il PM sta procedendo, e che potrebbe essere utilizzato come spunto per indagini ulteriori.

Inoltre, tutti i membri dell’ODV, i consulenti, gli auditor interni, potranno essere sentiti come persone informate sui fatti e poi come testimoni, anche su fatti e circostanze conosciute de relato, e cioè apprese da terzi. Gli stessi non potranno esimersi dal rispondere al PM o al Giudice su fatti e circostanze a loro note: invero, i membri dell’ODV, i loro collaboratori e i loro consulenti sono sottoposti a un obbligo di riservatezza rilevante ex art. 622 c.p. (che prevede il delitto di Rivelazione di segreto professionale), ma non possono valersi del diverso segreto professionale di cui all’art. 200 c.p.p. che individua i soggetti, tra cui gli avvocati difensori e i loro consulenti, che “non possono essere obbligati a deporre su quanto hanno conosciuto per ragioni del proprio ministero, ufficio o professione”. L’avvocato che, in ipotesi, svolge l’attività di membro di un ODV, agisce come organo societario interno e non come consulente/professionista, pertanto non potrà opporre il segreto professionale di cui all’art. 200 c.p.p..

Vi sono, comprensibilmente, dei limiti anche all’attività d’indagine dell’ODV, volta – è sempre bene ricordarlo – alla verifica sul funzionamento e osservanza del Modello ai fini dell’esenzione dalla – o attenuazione della – responsabilità amministrativa dell’ente. In primo luogo, qualora si scelga di procedere con audizioni o interviste nei confronti di soggetti dipendenti, coinvolti nei reati presupposto o semplici persone informate sui fatti, occorre tenere a mente che l’intervistato non ha l’obbligo di dire la verità, come del resto il soggetto che esegue l’intervista non ha l’obbligo giuridico di riportare, in modo fedele ed integrale, le informazioni raccolte, con conseguenti dubbi processuali in merito alla genuinità, fedeltà e completezza del documento. In più, nel caso in cui dal verbale dell’audizione/intervista, emerga la prova del comportamento fraudolento dell’organo aziendale, il documento potrebbe anche non poter essere utilizzato in sede processuale, qualora contenga dichiarazioni autoaccusatorie; tuttavia, il PM potrà sempre acquisire il documento quale mezzo di ricerca di prove e utilizzarlo contro l’ente nel simultaneus processus ex d.lgs. 231/2001[7].

In secondo luogo, l’attività che dovrebbe svolgere l’ODV potrebbe scontrarsi con la normativa posta dal d.lgs. 196/2003 a tutela della privacy. In particolare, il trattamento di dati sensibili, indipendentemente dai protocolli previsti nel Modello, non potrebbe essere effettuato se non con il consenso dell’interessato. Per ovviare a tale inconveniente, sarebbe opportuno che nell’atto di nomina e istituzione dell’ODV, allo stesso venisse conferito il ruolo, almeno, di Responsabile del trattamento dei dati personali[8]. Si consideri, comunque, come sia possibile svolgere attività investigativa-ispettiva e pertanto acquisire documentazione protetta, quali le e-mail del dipendente, anche senza il consenso dell’interessato, nelle ipotesi di cui all’art. 24, lett. f), d.lgs. 196/2003, e cioè quando sia “necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale”.

In tal caso, anche per le garanzie giudiziarie previste a favore della documentazione difensiva raccolta, in particolare ex artt. 327 bis e 391 bis e ss., c.p.p., sarebbe opportuno che una rappresentanza dell’ente nominasse un legale di fiducia a cui dare l’incarico di svolgere attività investigativa difensiva, eventualmente anche preventiva in vista di un futuro procedimento giudiziario nei confronti della società.

Da ultimo, si sottolinea il costante ruolo di collaborazione con l’Autorità Giudiziaria che deve avere l’ODV, anche al fine di impedire il verificarsi di condotte di inquinamento probatorio che potrebbero mettere in pericolo il positivo giudizio sui requisiti di autonomia, indipendenza e professionalità richiesti ai suoi membri, la mancanza dei quali si ripercuoterebbe, necessariamente, sulla valutazione della (non) capacità esimente del Modello in sede giudiziaria.

[1] Ci si riferisce, in particolare, a quanto indicato nell’Ordinanza del GIP di Napoli del 26.06.2007, secondo cui l’OdV “Svolge periodica attività ispettiva, secondo le modalità e le scadenze indicate nel Regolamento dell’OdV; accede a tutte le informazioni concernenti le attività a rischio di reato; chiede informazioni o esibizioni di documenti in merito alle attività a rischio di reato a tutto il personale dipendente della società e laddove necessario agli amministratori, al collegio sindacale e alla società di revisione; riceve periodicamente informazioni dai responsabili di funzioni interessate dalle aree a rischio; chiede informazioni agli organismi di vigilanza delle società appartenenti al gruppo; propone l’adozione delle sanzioni disciplinari; coordina, in unione con il Direttore delle risorse umane, la definizione dei programmi di formazione del personale; sottopone il modello a verifica periodica e ne propone l’aggiornamento quando siano intervenute violazioni o elusioni delle prescrizioni dello stesso che ne abbiano dimostrano inefficacia ed incoerenza ai fini della prevenzione ovvero quando siano intervenuti mutamenti significativi nel quadro normativo, nell’organizzazione o nell’attività della società; redige semestralmente una relazione al consiglio di amministrazione e al collegio sindacale sulla attività svolta; informa il presidente del CdA di circostanze e fatti significativi emersi nel corso della propria attività”.

[2] Riguardo all’attività investigativa dell’ODV si veda, ad esempio, CALLERI, Spunti penalistici per l’indagine e l’accertamento avanti l’Organismo di Vigilanza, in La responsabilità amministrativa delle società e degli enti, 2010, Vol. 1, p. 73 e ss.

[3] Si veda, in proposito, DUZIONI, Attività “investigativa-ispettiva” e attività “preventiva difensiva ex art. 391-nonies c.p.p” quale attività dell’OdV: due ipotesi a confronto di documentazione dell’effettiva attuazione del Modello 231 nei casi di presunto o sospetto accertamento di fatti reato commessi o in itinere, in La responsabilità amministrativa delle società e degli enti, 2012, Vol. 2, p. 51 e ss.

[4] Tribunale di Milano, Ordinanza del Giudice per le indagini preliminari del 20 settembre 2004.

[5] Si veda Circolare della Guardia di Finanza n. 83607/2012, dal titolo “Attività della Guardia di Finanza a tutela del mercato dei capitali“, in particolare il Terzo Volume della Circolare, che illustra le modalità di indagine relative all’accertamento della responsabilità degli enti secondo il d.lgs. 231/2001.

[6] Ibidem.

[7] DUZIONI, Attività “investigativa-ispettiva”, cit.

[8] Nell’ordinamento italiano, per Responsabile del trattamento dei dati si intende, ai sensi dell’art. 4, comma 1, lett. g) d.lgs. 30 giugno 2003, n. 196 (Codice della Privacy), “la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali“. Per quanto qui rileva, il Codice della Privacy specifica che la figura del Responsabile del trattamento deve essere indicata anche nella informativa da rendere agli interessati – e quindi a tutti i dipendenti, fornitori e apicali della società – ai sensi dell’art. 13 del Codice.