Compliance

Arianna Guercini
01 Marzo 2021

La compliance è un fenomeno sempre più rilevante e diffuso nell' “organizzazione” delle società di maggiori dimensioni e, in particolare, nella costruzione di un adeguato sistema di controllo interno. Essa consiste, più precisamente, in una funzione aziendale di controllo (da intendersi nel duplice significato di “struttura/ufficio” ed “attività”) a “disposizione” del management per la gestione di uno specifico rischio, c.d. di (non) conformità alle normative applicabili all'impresa.
Inquadramento

La compliance è un fenomeno sempre più rilevante e diffuso nell' “organizzazione” delle società di maggiori dimensioni e, in particolare, nella costruzione di un adeguato sistema di controllo interno. Essa consiste, più precisamente, in una funzione aziendale di controllo (da intendersi nel duplice significato di “struttura/ufficio” ed “attività”) a “disposizione” del management per la gestione di uno specifico rischio, c.d. di (non) conformità alle normative applicabili all'impresa.

Se questo è vero, si osserva che, ad eccezione di alcune regole definite dalle Autorità di vigilanza, nell'attuale sistema di diritto societario non esiste una normativa generale in materia, con la conseguenza che la compliance è disciplinata, organizzata ed “esercitata” sulla base delle “migliori prassi” del settore di riferimento, nazionali e non.

In questa prospettiva, il presente contributo si propone pertanto di ricostruire una qualche disciplina della funzione di conformità e, da ultimo, di esaminare la questione - per la quale, in assenza di previsioni normative, sembra emergere un interesse sempre maggiore - della responsabilità degli amministratori di una società per azioni di “diritto comune” in materia di compliance.

La funzione di compliance: una premessa generale

La funzione di compliance (di seguito anche solo “compliance”) costituisce un fenomeno sempre più diffuso nel governo societario della grande impresa e, in particolare, nella costruzione di un adeguato sistema di controllo interno (cfr. Latella, Sistema dei controlli interni e organizzazione delle società per azioni, Torino, 2018, 227; Tombari, Governo societario, compliance e “indagini interne” nella s.p.a. quotata, in G. Rossi (a cura di), La corporate compliance: una nuova frontiera per il diritto, Milano, 2017, 263). La rilevanza che, all'interno del medesimo sistema, va assumendo la c.d. conformità (dell'impresa) a norme e regolamenti ha difatti sollecitato le società di maggiori dimensioni a creare e predisporre una funzione aziendale ad hoc, per l'appunto, la compliance.

Eppure, ancora oggi, la stessa non figura tra gli istituti del codice civile e, nell'attuale sistema di diritto societario, non è oggetto di una normativa generale (cfr. Dolmetta, Funzione di compliance e vigilanza bancaria, in BBTC, 2012, I, 125). Ragione per cui, come si verificherà nel prosieguo, da una parte, non è rintracciabile una definizione univoca di “funzione di compliance” e nemmeno è semplice individuare le modalità organizzative e l'effettivo contenuto delle relative attività, se non guardando alla prassi (v. infra); dall'altra, non esiste una previsione normativa che imponga alle società di “diritto comune” (rectius, al loro Consiglio di amministrazione o “Cda”) di istituire una struttura “preposta” alla funzione di conformità (sul punto si veda, tuttavia, infra).

Se questo è vero, prima di procedere oltre nella trattazione, merita evidenziare che l'ordinamento italiano non pare trascurare del tutto il fenomeno in esame.

In primo luogo, la funzione di conformità risulta oggetto di una (parziale) disciplina nei settori “regolati” (bancario, assicurativo e della prestazione dei servizi d'investimento: e, nello specifico, rispettivamente: nelle “Disposizioni di vigilanza per le banche” di cui alla Circolare di Banca d'Italia, 17 dicembre 2013, n. 285 e ss.mm.ii (v. infra), nel Regolamento IVASS, 3 luglio 2018, n. 38 e nel Regolamento Consob-Banca d'Italia, 29 ottobre 2007, come da ultimo modificato nel febbraio 2018) come parte obbligatoria del sistema di controllo interno e di gestione della società.

In secondo luogo, la compliance trova un significativo riconoscimento nel Codice di corporate governance italiano (ed. 2020) che indica tra le “funzioni aziendali coinvolte nei controlli, articolate in relazione a dimensione, settore, complessità e profilo di rischio dell'impresa” quella “di presidio del rischio legale e di non conformità” [art. 6, Racc. n. 32, lett. e)].

Infine, è possibile individuare un “richiamo” al fenomeno in esame - seppur indiretto ed implicito - nell'ambito della normativa sulle società quotate e, in particolare, nelle prescrizioni in materia di controlli [artt. 149, comma 1, lett. c) e 150, comma 4, TUF], dalle quali può desumersi che quest'ultime “devono dotarsi di un sistema di controllo interno, al quale sono “preposte” determinate persone o uffici” (Luciano, Adeguatezza organizzativa e funzioni aziendali di controllo nelle società bancarie e non, in Riv. dir. comm., 2017, I, 347).

Queste parziali eccezioni non forniscono tuttavia una definizione normativa, univoca e dettagliata, di funzione di compliance né individuano le sue modalità organizzative e il contenuto delle relative attività.

Quanto al primo profilo, è possibile ricostruire il significato della locuzione in esame facendo riferimento alle varie - ma simili - proposte definitorie avanzate dagli interpreti.

In sintesi, la funzione di conformità consiste nell'attività (:la funzione, appunto) volta a sistemare in via preventiva il rischio di comportamenti dell'impresa non conformi alle norme, di competenza di specifici uffici aziendali solitamente posti alle dipendenze del general counsel e caratterizzata da un qualche grado di indipendenza rispetto alle strutture operative” (cfr. Fulco-Ventoruzzo, Responsabilità civilistiche dei componenti degli organi di amministrazione e controllo e funzione di compliance, in La corporate compliance, cit., 351; Dolmetta, op. cit., 125). Al contempo, la medesima rappresenta “uno strumento a disposizione del management per la gestione di un particolare rischio aziendale” (cfr. Latella, op. cit., 232; Grosso, Funzione di compliance e rischio penale, in La corporate compliance, cit., 281; Mantovani-Franceschini, La compliance in ENI, ivi, 1), c.d. “di non conformità” alle normative (imperative o meno: leggi, regolamenti, procedure, codici di condotta ed etici, previsioni contrattuali) applicabili all'esercizio dell'attività d'impresa, la cui concretizzazione può esporre la società a sanzioni (giudiziarie o amministrative) che si traducono in perdite finanziarie e patrimoniali e/o in danni reputazionali. Infine, è opportuno evidenziare che nell'esperienza pratica l'espressione “funzione di compliance” è spesso utilizzata per richiamare gli stessi “uffici” aziendali, anche individuali, preposti alle attività di controllo sulla conformità.

Per l'individuazione del contenuto delle attività e delle modalità organizzative della compliance soccorrono, invece, le specificità dell'impresa e le best practice del settore di riferimento esistenti in ambito nazionale ed internazionale (cfr. Mantovani- Franceschini, op. cit., 1; Tombari, op. cit., 263; Codice di corporate governance art. 6, Racc. n. 33, lett. g). Da una prima ricostruzione delle “migliori prassi” (per una loro analisi e alcuni esempi v. Arecco-Catellani, Cos'è la compliance aziendale, Milano, 2019, 60 ss.; Spolidoro, La funzione di compliance nel governo societario, in La corporate compliance, cit., 180 s. e 186 s.), quanto al primo aspetto, emerge che alla compliance sono ricondotte attività (in senso stretto) “di controllo” ( c.d. assurance: identificazione, misurazione, valutazione, monitoraggio e gestione dei rischi derivanti dal mancato rispetto delle previsioni normative applicabili all'impresa; garantire, mediante verifica ex post, che il sistema di gestione dei rischi sia adeguato) ma anche “gestionali” (c.d. consulenza), come l'acquisizione di informazioni, la formazione del personale, la partecipazione ai processi decisionali, alla progettazione, pianificazione e definizione dei processi operativi e delle misure correttive delle carenze riscontrate. In definitiva, l'attività della funzione di compliance può essere così sintetizzata:

(i) analisi normativa (: identificazione delle norme applicabili);

(ii) risk assessment (: valutazione ex ante della conformità e del grado di rischio);

(iii) monitoraggio;

(iv) valutazione di sintesi (formulazione del giudizio di conformità).

In secondo luogo, quanto alle modalità organizzative, risulta che nelle società più complesse viene di regola implementata una struttura percepibile all'esterno (composta da un unico ufficio “titolare” della funzione di conformità, oppure suddivisa in più uffici specializzati a seconda del tipo di rischio gestito, fra loro “coordinati”), mentre nelle organizzazioni più semplici, di norma, non viene predisposta una funzione “autonoma” per la compliance e, pertanto, le relative attività sono svolte a livello dei singoli processi operativi, amministrativi, contabili e di audit, oppure da soggetti esterni (cfr. Fulco-Ventoruzzo, op. cit., 362; Spolidoro, op. cit., 187). L'ufficio “titolare” della funzione, o i vari uffici preposti alla compliance, possono essere dotati di autonomia organizzativa oppure non, ovvero possono essere intestati, o meno, alla direzione legale della società, separati o divisi dalle linee di business: la scelta può dipendere da ragioni organizzative (ad es. legate ai costi) oppure da motivi di opportunità e di efficienza (Spolidoro, op. cit., 188).

In ogni caso, la funzione/struttura di compliance deve essere indipendente dai soggetti/uffici che controlla, nonché rispetto alle altre funzioni aziendali:

(i) il risk management, per evitare la sovrapposizione delle attività di controllo (sostanzialmente molto simili) e, pertanto, uno spreco di risorse o anche risultati delle verifiche contraddittori;

(ii) l'internal audit, perché preposta alla verifica periodica dell'adeguatezza ed efficacia dell'intero sistema di controllo interno e così anche della stessa compliance [Spolidoro, op. cit., 189 s.; cfr. Giorgino-Pozza, Compliance e rischi aziendali, in La corporate compliance, cit., 122; Codice di corporate governance, art. 6, Racc. n. 36, lett. a)].

La funzione di compliance nelle banche

Come già evidenziato, per poter individuare (in generale) il contenuto delle attività e le modalità organizzative della compliance, è opportuno far riferimento, tra l'altro, alle best practice esistenti in ambito nazionale ed internazionale. Tra queste “migliori prassi” si collocano anche le regole sulla conformità di cui alle già citate “Disposizioni di vigilanzadi Banca d'Italia (“Disposizioni”), in quanto “codificazione delle predette best practice che non sembra risentire in modo decisivo degli aspetti peculiari dell'attività bancaria” (Luciano, op. cit., 350). In questa prospettiva, si inserisce e si giustifica lo studio della disciplina della funzione di conformità nelle banche, qui di seguito delineata nei suoi tratti essenziali.

In primo luogo, occorre rilevare che le Disposizioni forniscono precise definizioni in materia di conformità (Tit. IV, cap. 3, sez. III.1 e 3).

La funzione di compliance è la struttura parte del sistema di controllo interno della banca che “attiene ai controlli di secondo livello” e “che presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l'attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio”.

Il rischio di non conformità è diffuso a tutti livelli dell'organizzazione aziendale e consiste nell'eventualità “di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina)”.

La gestione di siffatto rischio ricade nella responsabilità diretta della funzione di compliance (: la struttura operativa “preposta” alle attività di conformità) con riferimento alle norme più rilevanti (ad es., sull'esercizio dell'attività bancaria e di intermediazione) e alle regole per le quali non sono previste forme di presidio specializzato. Per tali ultime normative (ad es., fiscale e sicurezza sul lavoro), la banca può tuttavia “graduare” i compiti della compliance, che comunque rimane responsabile almeno per la definizione dei metodi di valutazione del rischio di non conformità, dell'individuazione e della verifica dell'adeguatezza delle relative procedure (Tit. IV, cap. 3, sez. III.3.2).

In secondo luogo, quanto all'istituzione e all'organizzazione della compliance, le Disposizioni configurano in capo alle banche un vero e proprio obbligo di predisporre funzioni aziendali di controllo permanenti e indipendenti, tra le quali la “funzione di conformità alle norme”, ferma restando “l'autonoma responsabilità aziendale per le scelte effettuate in materia di assetto dei controlli interni” (Tit. IV, cap. 3, sez. III.1). In altri termini, gli amministratori di una banca sono vincolati quanto alla predisposizione di una funzione di compliance permanente ma liberi nella scelta della struttura da adottare.

La discrezionalità “organizzativa” degli amministratori risulta tuttavia limitata da alcuni principi di carattere generale: adeguatezza, proporzionalità e indipendenza (cfr. Tit IV, cap. 3, sez. III.1 e 3). In questa prospettiva, la funzione di conformità deve essere strutturata in modo adeguato e proporzionale alla dimensione e alla natura dell'attività svolta e dei servizi prestati, potendo così risultare affidata

a) ad una struttura interna unica;

b) a risorse appartenenti ad altri uffici (ad es., legale), purché il processo di gestione del rischio e l'operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile (v. infra);

c) all'esterno (pur nel rispetto dei principi indicati, v. Tit. IV, cap 3., sez. IV e V.3).

La medesima funzione deve essere, infine, indipendente. Il requisito dell'indipendenza è assicurato attraverso

a) l'attribuzione alla funzione dell'autorità, delle risorse (economiche e di personale, con riferimento al quale è difatti previsto che non debba essere coinvolto in attività controllate dalla funzione) e delle competenze necessarie per lo svolgimento dei compiti (ad es., accesso ai dati aziendali e a quelli esterni);

b) la scelta di un responsabile, ovvero di un soggetto che “coordina”, “dirige” e “sovraintende” l'attività di controllo esercitata dallo “staff compliance”, dotato dei requisiti di indipendenza (verso le altre strutture e i responsabili delle aree operative), autorevolezza e professionalità, nonché collocato alle dirette dipendenze dell'organo amministrativo (dal quale è nominato ed eventualmente revocato);

c) la separazione della conformità, sotto il profilo organizzativo, dalle altre funzioni aziendali di controllo;

d) la definizione di un sistema di remunerazione del personale della funzione idoneo a non comprometterne l'obiettività e di un sistema di incentivi coerente con le finalità della funzione svolta (Tit. IV, cap. 3, sez. III.1).

In terzo luogo, con riferimento al “funzionamento” della compliance, le Disposizioni prevedono che i compiti, le modalità operative, la programmazione dell'attività di controllo, oltre che le responsabilità e i flussi informativi che interessano la funzione di conformità, siano indicati e disciplinati dalla regolamentazione interna predisposta dal Cda della banca.

Con particolare riferimento alla programmazione dell'attività di controllo, è previsto che la compliance (: la relativa struttura operativa) è tenuta a presentare annualmente agli organi aziendali un “programma di attività” in cui sono identificati e valutati i principali rischi cui la banca è esposta e sono programmati i relativi interventi di gestione, nonché, al termine del ciclo gestionale, una “relazione dell'attività svolta”, in cui sono illustrati le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e le proposte degli interventi correttivi.

Quanto ai flussi informativi, infine, viene indicato che la funzione di conformità riferisce agli organi aziendali in ordine alla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni per gli aspetti di sua competenza; in ogni caso, poi, la medesima è tenuta ad informare tempestivamente gli organi aziendali su ogni violazione o carenza riscontrate (Tit. IV, Cap. 3, Sez. III.2).

Da ultimo, riguardo ai compiti della funzione di compliance, le Disposizioni indicano i seguenti adempimenti riconducibili alle attività di assurance e consulenza individuate supra (cfr. Tit. IV, cap. 3, sez. III.3.2; Tit. IV, cap. 2, sez. II.3):

- ausilio alle strutture aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità alle norme;

- individuazione di idonee procedure per la prevenzione del rischio rilevato (cd. compliance program, v. par. successivo), con possibilità di richiederne l'adozione (al Cda); verifica della loro adeguatezza e corretta applicazione;

- proposta (al Cda) di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati;

- più in generale, consulenza e assistenza nei confronti degli organi aziendali della banca in tutte le materie in cui assume rilievo il rischio di non conformità (sul “rapporto di ausilio e collaborazione” tra Collegio sindacale e compliance, v. App. Venezia, Sez. I, 22.03.2018, in DeJure) nonché collaborazione nell'attività di formazione del personale sulle disposizioni applicabili alle attività svolte, al fine di diffondere una cultura aziendale improntata ai principi di onestà, correttezza e rispetto “dello spirito e della lettera delle norme”;

- identificazione delle normative applicabili e misurazione/valutazione del loro impatto su processi e procedure aziendali;

- predisposizione di flussi informativi diretti agli organi sociali e alle strutture coinvolte, anche di gruppo;

- verifica dell'efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non compliance alle norme e della coerenza del sistema premiante aziendale rispetto agli obiettivi di conformità.

Funzione di compliance e responsabilità degli amministratori di una società per azioni di “diritto comune”

Se gli amministratori delle banche sono tenuti ad implementare una funzione di compliance recante una struttura organizzativa conforme alle previsioni regolamentari - con conseguente loro responsabilità (rilevante ai sensi dell'art. 2392 c.c.) in ipotesi di mancata predisposizione o evidente non proporzionalità della medesima funzione rispetto alla natura, alla dimensione e alla complessità dell'impresa (Fulco-Ventoruzzo, op. cit., 354) - per il Cda delle società per azioni di diritto comune (di seguito, anche solo “s.p.a.”) la legge non prevede un obbligo analogo.

Se questo è vero, secondo un certo orientamento [cfr. Latella, op. cit., 232; Fulco-Ventoruzzo, op. cit., 355 ss.; Spolidoro, op. cit., 192; Sfameni, Idoneità dei modelli organizzativi e sistema di controllo interno, in AGE, 2009, 2, 274 e, seppur con riferimento al modello organizzativo di gestione e controllo ex art. 6, d.lgs. n. 231/2001, c.d. Modello 231, cfr. Morelli-Prandi, Governance societaria e responsabilità amministrativa degli enti. Un primo bilancio per le imprese italiane, in Cerrato (a cura di), Impresa e rischio. Profili giuridici del risk management, Torino, 2019, 39 e, in giurisprudenza, Tribunale di Milano, 13 febbraio 2008, n. 1774, in Soc., 2008, 1507 ss.] anche gli amministratori di una s.p.a. sarebbero responsabili per il mancato approntamento e/o per l' inadeguatezza della (pur esistente) funzione di compliance [e, più in particolare, degli eventuali danni conseguenti, sofferti dalla società e/o da terzi, v. Rabitti, Responsabilità da deficit organizzativo, in Irrera (diretto da), Assetti adeguati e modelli organizzativi nella corporate governance delle società di capitali, Bologna, 2016, 961 s.]. La responsabilità è solidale anche in ipotesi di delega di funzioni: del resto, la valutazione degli assetti organizzativi è una competenza affidata all'intero consiglio (v. art. 2381, comma 3, c.c.; Fulco-Ventoruzzo, op. cit., 356; sul riparto delle competenze “organizzative”, secondo il quale ai delegati spetta “curare”, e cioè predisporre gli assetti e al plenum di delinearne le linee strategiche e di controllarne il funzionamento e “l'adeguatezza”, si veda la precisa analisi di Presciani, in Il modello organizzativo ex artt. 6-7 d.lgs. 231/2001, in BBTC, 2020, 751 ss.).

Tale fattispecie di responsabilità - e il presupposto dovere “organizzativo” (eventualmente, come appena visto, diversamente “strutturato”) - sarebbe ricavabile in via interpretativa dagli obblighi generali che gravano sugli amministratori, ovvero:

(i) adempiere all'incarico con diligenza (art. 2392 c.c.);

(ii) “esercitare” la c.d. corretta amministrazione (arg. ex art. 2403 c.c.);

(iii) istituire assetti organizzativi adeguati alla “natura” e alle “dimensioni” dell'impresa [art. 2086, comma 2, c.c.: sul quale cfr. Ginevra-Presciani, Il dovere di istituire assetti adeguati ex art. 2086 c.c., in Nuove leggi civ. comm., 2019, 5, 1209 ss.; Spolidoro, Note critiche sulla “gestione dell'impresa” nel nuovo art. 2086 c.c. (con una postilla sul ruolo dei soci), in Riv. soc., I, 2019, 253 ss. Tale disposizione, a seguito della recente e oramai nota modifica, estende l'obbligo di istituire assetti adeguati, nonché di conoscere e monitorare i vari rischi d'impresa, a tutti gli imprenditori collettivi e non solo agli amministratori di una s.p.a., come previsto dall'art. 2381, commi 3 e 5, c.c. e, per le società quotate, dall'art. 149, comma 1, lett. c, TUF. Ne consegue che le riflessioni svolte in questa sede trovano applicazione - seppur con i dovuti adattamenti, a seconda del tipo societario che viene in considerazione - anche rispetto agli amministratori di società diverse dalla s.p.a.]. Sulla base delle previsioni richiamate, è stato difatti osservato che l'attività di verifica della conformità è parte necessaria degli assetti organizzativi (Fulco-Ventoruzzo, op. cit., 355 s.), ovvero dell'organizzazione di ogni società: d'altra parte, non pare possa dubitarsi del fatto che gli stessi assetti, proprio per dirsi “adeguati”, debbano includere meccanismi idonei a garantire la legalità dell'agire imprenditoriale [Presciani, art 7 d.lgs. n. 231/2001, in Castronuovo- De Simone-Ginevra-Lionzo- Negri-Varraso (a cura di), Compliance - Responsabilità da reato degli enti collettivi, Milano, 2019, 212, ove ampi riferimenti].

In secondo luogo, è stato evidenziato che i compiti della compliance sarebbero pur sempre riconducibili ad inderogabili competenze dell'organo amministrativo, dal momento che il medesimo, in quanto figura apicale del sistema dei controlli “di gestione”, è tenuto ad esercitare le funzioni di monitoraggio, tra le quali rientrano senza dubbio la verifica della conformità dell'impresa e il c.d. risk assessment da non compliance. E questo a prescindere dal tipo di società e dagli specifici aspetti che la caratterizzano (Luciano, op. cit., 344 s., ove riferimenti; in arg. v. anche Latella, op. cit., 232).

In conclusione, è possibile osservare che il mancato “approntamento” di una qualsivoglia struttura che svolga l'attività di verifica della conformitàpotrà verosimilmente configurare un inadempimento degli amministratori ai propri obblighi di legge (cfr. Fulco-Ventoruzzo, op. cit., 356; Amatucci, Adeguatezza degli assetti, responsabilità degli amministratori e business judgement rule, in Giur. comm., 2016, I, 643; Sfameni, op. cit., 274). Al contrario, nell'ipotesi in cui una qualche funzione di conformità sia stata predisposta, l'organo amministrativo potrà dirsi inadempiente ai propri doveri “organizzativi” solo se la stessa risulti “inadeguata” in applicazione dei principi di ragionevolezza e di proporzionalità, ovverosia se presenta un'architettura manifestatamente irragionevole rispetto alla natura e alle dimensioni della società (v. più nello specifico infra). Ed infatti, non potendo individuarsi un modello unico e ideale di compliance, nulla osta a che, come già detto (v. supra), nelle società di dimensioni più piccole la verifica della conformità sia legittimamente affidata a risorse già presenti nell'ufficio legale interno oppure a soggetti esterni; mentre solo nelle organizzazioni più “complesse” (dal punto di vista strutturale e/o in considerazione della natura dell'attività esercitata, e pertanto della tipologia e rilevanza dei rischi aziendali) sarà necessaria la presenza di un ufficio che “incarni la compliance”(cfr. Fulco -Ventoruzzo, op. cit., 357 s.; Spolidoro, La funzione di compliance nel governo societario, cit., 187).

A tal ultimo riguardo, occorre certamente spendere qualche parola sull'applicabilità della Business judgement rule (“BJR”: sulla quale v., ad esempio, Mugnai-Cellini, Il criterio della “ragionevolezza” quale limite all'operatività della regola della business judgement rule. Nota a Cass., 22 giugno 2017, n. 15470, sez. I, in questo portale) alle decisioni relative alle modalità organizzative della compliance (quanto, invece, alle decisioni sulla mancata predisposizione di una funzione di compliance, l'operatività della BJR deve essere esclusa, sussistendo, come detto, uno specifico obbligo, espresso o meno a seconda se la società sia di diritto “speciale” o “comune”, di approntare una qualche struttura per l'esercizio delle attività sulla conformità: in arg. Fulco-Ventoruzzo, op. cit., 360 s., v. supra).

La questione non è sconosciuta agli interpreti che da tempo si interrogano, più in generale, sull'applicabilità della Bjr alle scelte attuative dell'obbligo di dotare le società di adeguati assetti organizzativi (artt. 2086, comma 2, e 2381, commi 3 e 5, c.c.). Secondo l'orientamento che pare maggioritario, e che in questa sede si condivide, la decisione assunta dagli amministratori sulla “costruzione” degli assetti – in quanto pur sempre “gestoria” - rientra nel safe harbour della BJR (v., in dottrina, Barcellona, Business Judgment Rule e interesse sociale nella crisi. L'adeguatezza degli assetti organizzativi alla luce della riforma del diritto concorsuale, in Quad. Giur. comm., n. 432, 2020, 51 ss.; Calandra Buonaura, Corretta amministrazione e adeguatezza degli assetti organizzativi nella Società per azioni, in Giur. comm., I, 442 ss.; Benedetti, L'applicabilità della business judgment rule alle decisioni organizzative degli amministratori, in Riv. soc., 2019, I, 413. In giurisprudenza, Trib. Roma, 15.05.2019, con commento di Mugnai-Iannì, Responsabilità degli amministratori e sindacabilità delle scelte “organizzative” in tema di compensi, in questo portale. A favore di un sindacato “più stringente” rispetto a quello consentito dalla BJR, v., per tutti, Montalenti, Diritto dell'impresa in crisi, diritto societario concorsuale, diritto societario della crisi: appunti, in Giur. comm., 2018, I, 78 s.) e così anche la scelta delle modalità organizzative della compliance. Di conseguenza, tale decisione potrà essere sindacata solo quando lafunzione di conformità risulti organizzata in modo manifestatamente irragionevole rispetto alla natura e alle dimensioni dell'impresa, così da non rilevare né gestire correttamente il rischio da non conformità (sul punto si v. Ferrarini, Controlli interni e strutture di governo societario, in Il nuovo diritto delle società. Liber amicorum Gian Franco Campobasso, 3, Milano, 2007, 25; Fulco-Ventoruzzo, op. cit., 359 ss.). In questa prospettiva, ad esempio, potrà considerarsi “inadeguata” quella funzione che si avvalga di procedure di gestione del rischio di non conformità pedissequamente “copiate” da altri operatori del mercato, anche del medesimo settore, in quanto non idonea a gestire i rischi di quella specifica realtà imprenditoriale, e, al contrario, “adeguata” la scelta di strutturare la compliance in modo difforme al modello ricorrente nelle best pratice: dal momento che le soluzioni che possono essere adottate sono molteplici e che non esiste un archetipo di funzione di conformità, resta solo da verificare che la decisione “organizzativa” sia stata adottata in modo consapevole e informato.

Se la società è, invece, di “diritto speciale”, la funzione di compliance, giova ricordarlo, deve recare una struttura organizzativa conforme alle previsioni regolamentari (v. supra) che di fatto limitano la discrezionalità degli amministratori e, così, l'operatività della Bjr: tale regola, dunque, potrà essere applicata solo alle decisioni che hanno ad oggetto profili “strutturali” non disciplinati dalla regolamentazione di settore (cfr. Fulco-Ventoruzzo, op. cit., 360).

In evidenza: giurisprudenza e orientamenti Consob sulla responsabilità degli amministratori di una società di diritto “comune” in materia di compliance

  • non risultano specifici precedenti giurisprudenziali;
  • per analogia, v. decisione del Trib. Milano, 13.02.2008, n. 1774, cit., che ha confermato la responsabilità degli amministratori in ipotesi di mancata adozione di un (adeguato) Modello 231 (per il quale tuttavia la legge pone in capo alle società un mero onere di predisposizione);
  • la Consob con Delibere n. 20459, 25.05.2017; n. 20560, 2.08.2018 e n. 20936, 14.05.2019, tutte reperibili in Bollettino Consob e confermate in appello, ha riconosciuto la responsabilità del Cda e, tra gli altri, del responsabile compliance, per le violazioni commesse in assenza di procedure idonee a garantire il corretto svolgimento dell'attività d'impresa (in specie, la prestazione dei servizi di investimento).

Da ultimo, merita evidenziare che il Cda è altresì competente per la definizione e per l'aggiornamento dei c.d. compliance program (esempio tipico è il Modello 231; in arg. v. Spolidoro, op. cit., 183 ss.; Vernero-Parena-Artusi, Risk Management e modelli organizzativi, in Impresa e rischio. Profili giuridici del risk management, cit., 12 ss.), ossia dei regolamenti interni in cui sono collocate le policy e le procedure aziendali in materia di anticorruzione, antitrust, privacy, ecc. e nel cui ambito si esplicano le attività di controllo della conformità. La competenza dell'organo amministrativo si giustificherebbe, in primo luogo, per il fatto che l'adozione (e la corretta implementazione) di tale regolamentazione interna sarebbe ascrivibile nella più ampia categoria degli (adeguati) assetti organizzativi - alla cui istituzione, cura e vigilanza sono preposti, come ricordato in precedenza, gli stessi amministratori (Vernero-Parena-Artusi, op. cit., 12) - e, in secondo luogo, in quanto attraverso la predisposizione dei compliance program il Cda può meglio adempiere al proprio dovere di agire informato. Grazie alle procedure e ai sistemi di reporting l'organo amministrativo può difatti venire a conoscenza di vicende sociali problematiche, che altrimenti non verrebbero ad emersione o sarebbero conosciute in ritardo [Ferrarini, Funzione del consiglio di amministrazione, ruolo degli indipendenti e doveri fiduciari, in Bianchini e Di Noia (a cura di), I controlli societari-Molte regole, nessun sistema, Milano, 2010, 57].

Per la definizione dei programmi sulla conformità, il Cda normalmente si avvale del contributo (anche “propositivo”) degli uffici preposti alla funzione di conformità (Spolidoro, op. cit., 183 s.) modellando, in mancanza di indicazioni legislative, il loro contenuto alle specificità dell'impresa [minime indicazioni contenutistiche sono previste per la predisposizione del Modello 231 e dei cd. sistemi di whistleblowing o di segnalazione di illeciti da parte dei dipendenti della società di cui alla legge n. 179/2017 e alla Direttiva (UE) 2019/1937. Vi sono poi alcune linee guida per la costruzione di un programma di compliance effettivo: “Linee Guida sulla compliance antitrust” (2018); “Linee Guida di Confindustria sulla definizione del modello di organizzazione e di gestione dei rischi ex art. 6 d.lgs. n. 231/2001” (2014); “Linee Guida dell'Associazione Bancaria Italiana per l'adozione di modelli organizzativi sulla responsabilità amministrativa delle banche” (2004)]. L'organo amministrativo è tenuto inoltre ad adoperarsi affinché le misure e le procedure individuate non restino “sulla carta” ma divengano operative (monitorandone l'attuazione e, in via preliminare, garantendone la conoscenza attraverso l'attivazione di specifici corsi di formazione a frequenza obbligatoria per tutti i soggetti - variamente incardinati nell'organizzazione aziendale - che sono tenuti a rispettarle), nonché ad aggiornarle, in particolare quando intervengano modifiche normative rilevanti per l'esercizio dell'impresa (sul recepimento delle novità del “diritto emergenziale” nei Modelli 231, v., ad esempio, Assonime, Caso n. 4/2020: COVID-19 e compliance al d. lgs. 231/01. Prime indicazioni).

Riferimenti

Normativi

  • “Disposizioni di vigilanza per le banche”, Circolare n. 285/2013, Tit. IV, cap. 3, sez. III
  • Art. 2086, comma 2, c.c.
  • Art. 2381, commi 3 e 5, c.c.
  • Art. 2392 c.c.
  • Art. 6 Codice di Corporate Governance (ed. gennaio 2020)

Giurisprudenza e Orientamenti Consob

  • App. Venezia, Sez. I, 22 marzo 2018
  • Trib. Milano, 13 febbraioo 2008, n. 1774
  • Delibere Consob n. 20459, 25.05.2017; n. 20560, 2.08.2018 e n. 20936, 14.05.2019
Sommario