L'Organismo di Vigilanza nella sua evoluzione funzionale dal d.lgs. 231/2001 al d.lgs. 231/2007, poteri e doveri

Ai compiti previsti dal d.lgs. 231/2001, recante la disciplina istitutiva dell'Organismo di Vigilanza con funzioni di controllo e di implementazione del modello organizzativo volto alla prevenzione dei reati presupposto, si sono aggiunte, a seguito dell'entrata in vigore del decreto 231/2007, funzioni ed obblighi di comunicazione di natura sostanzialmente diversi a quelli che già aveva prima, senza che vi sia stata la previsione di un adeguamento strutturale od operativo dell'organismo stesso, in vista delle nuove funzioni operative.

L'Organismo di Vigilanza, quale ente dotato di poteri, di iniziativa e di controllo autonomi, fa la sua comparsa nel nostro ordinamento con il d.lgs. 231/2001.

In particolare, per quanto riguarda i compiti ad esso attribuiti, l'art. 6, comma 1, lett. b), d.lgs. 231/2001 prevede che l'ente non sia responsabile per i reati commessi dai soggetti in posizione apicale, che sono delineati dall'art. 5, comma 1, lett. a) d.lgs. 231/2001, se è stato istituito un organismo con il compito di vigilare sul funzionamento e l'osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo.

La predetta norma introduce quindi la facoltà, non l'obbligo, per gli enti di istituire al loro interno, un organismo dotato di autonomi poteri in ordine al controllo e all'aggiornamento dei modelli di organizzazione, volti a prevenire il rischio della commissione dei reati presupposto.

Tuttavia va precisato che, nonostante la formulazione della legge lasci intendere che l'istituzione di un organismo di vigilanza e di un modello organizzativo sia facoltativo per l'ente, il tribunale di Milano ha ravvisato una responsabilità gestionale in capo al presidente del consiglio di amministrazione e amministratore delegato di una società, per non aver istituito un organismo di vigilanza, fatto che ha comportato la dichiarazione di responsabilità dell'ente (tribunale di Milano, Sez.III civile, 13 febbraio 2008, n. 1774, dove in motivazione si afferma che per quanto attiene all'omessa adozione di un adeguato modello organizzativo, da un lato, il danno appare incontestabile in ragione dell'esborso per la concordata sanzione e, dall'altro, risulta altrettanto incontestabile il concorso di responsabilità di parte convenuta che, quale amministratore delegato e presidente del cda, aveva il dovere di attivare tale organo, rimasto inerte al riguardo.

L'orientamento giurisprudenziale riportato, non fa venir meno il carattere di facoltatività dell'istituzione dell'organismo di vigilanza all'interno dell'ente; i giudici nella sentenza in nota, sottolineano la responsabilità dell'ente in caso di sua mancata attivazione, rilevando che l'istituzione di tale organo è principio di buona amministrazione, di tal che la sua mancata istituzione, in caso di danni per la società derivati dalla commissione di uno dei reati che presuppongono la responsabilità per l'ente, rende censurabile, sotto il profilo della responsabilità civile, l'organo dirigente che ne ha omesso l'attivazione.

Tale decisione non fa altro che sottolineare quella che è la ratio della legge, ovvero la previsione di un modello organizzativo e di un organismo di vigilanza strutturato in modo idoneo a vigilare sulla sua osservanza.

Quanto ai compiti cui è chiamato l'Organismo di Vigilanza, essi devono essere determinati nei modelli organizzativi, così come stabilito dall'art. 6, comma 2, lett. d) d.lgs. 231/2001 (di tal che essi non derivano direttamente dalla legge), e la cui redazione spetta, ai sensi dell'art. 6, comma 1, lett. a) d.lgs. 231/2001, all'organo dirigente, che negli enti di piccole dimensioni può svolgerne direttamente le funzioni di Vigilanza, in base al disposto dell'art. 6, comma 4, d.lgs. 231/2001.

Lo svolgimento di tali funzioni richiede che tale organismo, interno all'ente, abbia caratteristiche di autonomia ed indipendenza rispetto all'ente che è chiamato a controllare.

È facile rilevare che nell'ipotesi di cui all'art. 6, comma 4, d.lgs. 231/2001 in cui le funzioni di controllo sono svolte direttamente dall'organo dirigente, si possono configurare situazioni di conflitto di interessi, concretabili quando l'organo dirigente, si trovi nelle condizioni di dover sindacare il suo stesso operato; in tali ipotesi, ovvero quanto le funzioni di controllore e di controllato si trovano riunite in una stessa persona, la funzione di controllo diventa priva delle necessarie caratteristiche di imparzialità.

Rilevato che le funzioni demandate dalla legge all'Organismo di Vigilanza, sono quelle di cui all'art. 6 d.lgs. 231/2001 ovvero quelle della verifica del rispetto dei modelli organizzativi e del loro aggiornamento, rende opportuno che i suoi componenti non siano soggetti che svolgono funzioni all'interno dell'ente controllato, in quanto diversamente si possono verificare situazioni incompatibili con la funzione di “giudice”, nelle ipotesi in cui lo stesso è chiamato a dover sindacare su condotte poste in essere dai suoi componenti.

Il dovere di sorvegliare sulla corretta applicazione del modello organizzativo, la cui redazione è finalizzata a prevenire la commissione di reati da parte del personale dell'ente, fa sorgere l'interrogativo se tale dovere, così come configurato, potesse essere idoneo ad ipotizzare in caso di commissione di un reato presupposto, in capo ai componenti dell'organo stesso, la responsabilità per il reato commesso, accollato ai sensi dell'art. 40, comma 2, c.p., proprio per non aver impedito l'evento.

Ai fini della configurazione di responsabilità omissiva ai sensi dell'art. 40, comma 2, c.p., è necessario che vi sia in capo al soggetto chiamato a rispondere del reato per omissione, un obbligo giuridico di impedire l'evento, il che vuol dire che lo stesso deve trovarsi nella posizione di garante del bene giuridico protetto dalla norma incriminatrice oggetto della violazione.

Ragionando sul dettato normativo contenuto nell'art. 6, comma 2, lett. d) d.lgs. 231/2001, non pare di poter ravvisare, che tra i doveri dell'organismo di vigilanza vi sia quello di impedire la commissione di reati da parte dei componenti dell'organismo di vigilanza, quanto invece quello di vigilare sulla corretta osservanza dei modelli, onde per cui non sarebbe configurabile in capo a questi una responsabilità nel reato commesso dal personale dall'ente, per condotta omissiva ai sensi dell'art. 40 cpv. c.p. Nell'ipotesi di cui all'art. 6, comma 1, lett. c), d.lgs. 231/2001 l'ente non risponde, quando il reato sia stato commesso dalle persone indicate nell'art. 5, comma 1, lett. a) d.lgs. 231/2001, con condotte fraudolente finalizzate ad aggirare le previsioni dei modelli organizzativi, caso in cui la presenza della scriminante, è dovuta alla condotta frudolenta posta in essere dal soggetto attivo del reato, non dall'inidoneità del modello organizzativo o dall'inadeguata vigilanza dell'Organismo di Vigilanza.

Nel prossimo paragrafo prenderemo in esame le funzioni dell'Organismo di Vigilanza, alla luce del dettato normativo di cui al d.lgs. 231/2007.

Il d.lgs. 231/2007, pubblicato nella Gazzetta ufficiale n. 290 del 14 Dicembre 2007 – supplemento ordinario n. 268 – emanato in attuazione della direttiva 2005/60/Ce, concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/Ce recante le misure di esecuzione, introduce vari obblighi, che sono finalizzati alla prevenzione delle pratiche di money laundering di cui sono destinatari gli operatori economici, identificati negli artt. 11, 12, 13, 14 del decreto legislativo 231/2007.

La finalità del d.lgs. 231/2007 è quella di impedire l'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, attraverso l'introduzione di adempimenti e controlli finalizzati prevalentemente all'identificazione dell'esecutore delle operazioni; tali doveri sono molteplici e articolati.

In sostanza, tre sono le categorie di obblighi configurati dal decreto legislativo n. 231 del 2007:
a) obblighi in relazione alla adeguata verifica della clientela (artt.15 ss. d.lgs. 231/2007);
b) obblighi in relazione alla conservazione di documenti e di registrazione di dati (artt.36 ss. d.lgs. 231/2007);
c) obblighi in relazione alla segnalazione delle operazioni sospette (artt. 41 ss.d.lgs. 231/2007).

Il riferimento normativo ai compiti e alle funzioni che sono demandate all'organismo di vigilanza di cui all'art. 6 d.lgs. 231/2001, è quello dell'art. 52 d.lgs. 231/2007, ove si stabilisce che l'organismo di vigilanza di cui all'articolo 6, comma 1, lettera b), del decreto legislativo 8 giugno 2001 n. 231, ha il compito di vigilare sull'osservanza delle disposizioni del presente decreto.

Il coinvolgimento di una struttura come quella dell'organismo di vigilanza, nel controllo delle operazioni di utilizzo degli strumenti finanziari, è dovuto alla sua eventuale presenza all'interno degli enti destinatari del d.lgs. 231/2007, che sono quelli elencati nell'art. 10, commi 1 e 2, d.lgs. 231/2007 con funzioni di vigilanza sull'osservanza del modello di prevenzione e di comunicazione di operazioni sospette e conservazione di documentazione inerente tali operazioni.

La tipologia degli obblighi di comunicazione, è descritta nelle disposizioni delle lettere a), b), c), d), dello stesso art. 52, comma 2, d.lgs. 231/2007.

Per ben comprendere la portata innovativa dell'art. 52 d.lgs. 231/2007, è necessario considerare che i compiti che il decreto legislativo 231/2001 attribuiva all'organismo di vigilanza prima dell'entrata in vigore della legge 231/2007, erano e sono ancora, quelli ad esso attribuiti dall'art. 6, comma 1, lett. b) d.lgs. 231/2001, ovvero di vigilanza sul funzionamento e l'osservanza del modello organizzativo, e la cura del suo aggiornamento, a cui ora si affiancano quelli descritti nell'art. 52 d.lgs. 231/2007.

Tale ultima disposizione demanda, a tutti gli organismi di vigilanza istituiti presso i soggetti destinatari del presente decreto di vigilare sull'osservanza delle norme in esso contenute;talidoveri, che sono ulteriori rispetto a quelli già attribuiti allo stesso dal d.lgs. 231/2001, prefigurano obblighi di comunicazione diretti alle autorità indicate nell'art. 52, comma 2, lett. a), b), c), d), riguardanti segnalazione di operazioni “sospette”, poste in essere da soggetti terzi rispetto alla compagine sociale, che si valgono dei servizi dell'ente per interessi propri.

Una breve disamina delle norme in questione porta ad identificare in relazione alla lettera a), il dovere di segnalare le violazioni ai doveri di cui all'art. 7, comma 2,d.lgs. 231/2007 ovvero operazioni che riguardano i compiti di adeguata verifica del cliente, l'organizzazione , la registrazione, le procedure e i controlli interni volti a prevenire l'utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria di cui all'articolo 11 e di quelli previsti dall'articolo 13, comma 1, lettera a), a fini di riciclaggio o di finanziamento del terrorismo.

Per quanto riguarda la lettera b) della norma, dovere di comunicazione al titolare dell'attività od a un suo legale rappresentante delle operazioni sospette di riciclaggio o di finanziamento al terrorismo, di cui si ha notizia nell'esercizio dei compiti istituzionali.

La lett. c) sancisce un obbligo di segnalazione al Ministero dell'Economia e delle Finanze, delle infrazioni alle disposizioni degli artt. 49, commi 1, 5 , 6, 7, 13 e 14, e art. 50 d.lgs. 231/2007 di cui si ha notizia e che si sostanziano nelle regole da seguire per le operazioni di trasferimento di denaro contante o libretti di deposito, ovvero operazioni di negoziazione di assegni bancari o postali per importi superiori ai 5000 euro, nonché operazioni poste in essere con riferimento ai libretti postali al portatore qualora superino i limiti massimi ammessi, di loro cessione, o di apertura con intestazione anonima o fittizia, anche rispetto alle operazioni compiute negli stati esteri.

Infine la lettera d) impone la segnalazione all'Uif, (Unità di informazione finanziaria per l'Italia istituita presso la banca d'Italia) di ogni operazione compiuta nella mancata osservanza di quanto previsto nella norma di cui all'art. 36, con riferimento alla conservazione della copia delle operazioni di verifica della clientela, e di quella dei rapporti instaurati con il cliente, per un periodo di dieci anni dall'operazione o dalla cessazione del rapporto.

Il dovere di comunicazione è attribuito a ciascun ente, (tra quelli specificati al art. 52 comma 1,d.lgs. 231/2007 che sono il collegio sindacale, il consiglio di sorveglianza, il comitato di controllo di gestione, l'organismo di vigilanza di cui all'articolo 6, comma 1, lettera b), del decreto legislativo 8 giugno 2001, n. 231, nell'ambito delle proprie attribuzioni e competenze, locuzione quest'ultima aggiunta dall'art.30, comma 1, lett. a) d.lgs.25 settembre 2009, n.151.

Tale ultima modifica legislativa è funzionale ad evitare una sovrapposizione di compiti tra i vari organismi elencati nell'art. 52, comma 1, d.lgs. 231/2007, di tal che si deve ritenere che l'organismo di vigilanza abbia l'obbligo di comunicazione in relazione alle operazioni “sospette” effettuate dall'ente sottoposto al suo controllo, di cui venga a conoscenza nell'esercizio delle sue funzioni di vigilanza sul modello, in maniera tale da evitare che vi sia una sovrapposizione, con rischio di una ripetizione degli stessi controlli da parte di enti diversi magari all'interno della stessa compagine sociale.

La veloce disamina riportata, che non ha carattere di esaustività in relazione alle singole operazioni e alla loro tipologia, è strumentale ad evidenziare che in questi casi l'organismo di vigilanza è chiamato alla segnalazione di operazioni che sono compiute dall'ente quale fornitore di servizi di intermediazione, poste in essere da soggetti terzi con finalità estranee al perseguimento degli interessi propri dell'ente.

Vi è quindi un significativo spostamento di “baricentro” rispetto a quelli che erano i presupposti iniziali del controllo; in relazione al d.lgs. 231/2001 vi era il dovere di controllo sulle operazioni poste in essere dagli appartenenti all'ente, e nel suo interesse, in relazione al rispetto del modello organizzativo, ora, in base a quanto disposto dal d.lgs. 231/2007, il controllo, si è trasformato in un obbligo di comunicazione ad organismi istituzionali, in riferimento alle operazioni compiute da soggetti terzi rispetto all'ente e nel proprio interesse.

Tale obbligo è reso ancor più importante se si rileva quanto disposto dall'art. 55, comma 5, d.lgs. 231/2007, ove è descritto il delitto di omessa comunicazione, posto in essere da chi, essendovi tenuto, omette di effettuare la comunicazione di cui all'articolo 52, comma 2, d.lgs. 231/2007

In caso invece di omesso controllo sull'osservanza del modello da parte dell'organismo di Vigilanza, si configura a carico dell'ente l'ipotesi di responsabilità ai sensi dell'art. 6, comma 1, lett. d) d.lgs. 231/2001, per cui l'ente risponde del reato posto in essere dai soggetti di cui all'art. 5 in via amministrativa.

Interessante è interrogarsi sulle conseguenze di questo ampliamento delle competenze attribuite all'Organismo di Vigilanza, in particolare in relazione ai nuovi obblighi di comunicazione, se sia tale da dover considerare l'Organismo di Vigilanza, o comunque i suoi componenti, con qualifica differente rispetto a quella che avevano prima dell'entrata in vigore del d.lgs. 231/2007, e se i modelli organizzativi debbano essere strutturati in modo da prevedere anche protocolli atti ad evitare l'omissione di comunicazione sanzionata dall'art. 55 comma 5, che pur non essendo annoverato tra i reati presupposto della responsabilità dell'ente, è comunque reato che possono porre in essere gli appartenenti all'Organismo di Vigilanza nell'esercizio delle loro funzioni, che nel caso previsto dall'art. 6, comma 4, d.lgs. 231/2001, può essere costituito direttamente dall'organo dirigente.

Nonostante questo parziale mutamento di funzioni, gli obblighi di comunicazione delle operazioni previste dal d.lgs. 231/2007, anche se diretti ad enti pubblici, non fanno comunque si che si possa ipotizzare un mutamento di qualifica attribuibile ai componenti dell'organismo di vigilanza tenuti alla comunicazione, in quanto questi avevano e continuano a conservare una qualifica di natura privatistica.

Bisogna anche sottolineare che gli adempimenti cui sono chiamati i componenti dell' Organismo di Vigilanza dal d.lgs. 231/2007, sono tali da richiedere specifiche competenze, che sono sostanzialmente diverse da quelle che erano necessarie per la verifica sull'osservanza del modello organizzativo.

L'ampliamento delle funzioni e degli obblighi, in relazione alle comunicazioni ad autorità istituzionali esterne, di cui ha obbligo l'Organismo di Vigilanza a seguito dell'entrata in vigore del d.lgs. 231/2007, ne ha verosimilmente imposto una ristrutturazione interna, funzionale al suo adeguamento ai nuovi doveri di segnalazione e di conservazione della documentazione inerente alle operazioni compiute e all'identificazione della clientela.

Tali adempimenti, che in via primaria non spettano direttamente all'Organismo di Vigilanza, ma ad altre strutture societarie, coinvolgono però anche l'organismo di vigilanza, in quanto su di esso incombono i doveri di comunicazione che abbiamo visto nel corso del paragrafo precedente previsti dall'art. 52 d.lgs.231/2007, in relazione alle operazioni compiute nella mancata osservanza di quanto previsto nello stesso decreto.

Si accentua in questa maniera la funzione di controllo, di cui lo stesso organismo era già destinatario al momento dell'entrata in vigore del d.lgs. 231/2001, che riguardava solo il controllo del rispetto del modello organizzativo, funzione ora estesa anche all'obbligo di comunicazione verso autorità istituzionali esterne, a seguito dell'entrata in vigore del d.lgs. 231/2007.