Le nuove Linee Guida 231. Principi consolidati e rilevanti novità nell'edizione 2021

L'atteso aggiornamento delle Linee Guida 231 più applicate per la predisposizione dei Modelli organizzativi è (finalmente) realtà. Si tratta di una novità conseguente ai numerosi interventi legislativi che hanno modificato ed ampliato l'operatività del D.Lgs. 231/2001. Le Linee Guida sulla redazione dei Modelli organizzativi emanate da Confindustria nel mese di giugno 2021, aggiornando la precedente versione del 2014, non hanno stravolto l'impianto dell'edizione precedente. Si tratta di un aggiornamento necessitato dalle novelle legislative intercorse e, con l'occasione, sono state considerate le evoluzioni di dottrina e giurisprudenza. Altro dato rilevante è che le Linee Guida 2021 non sono un documento a sé stante. Sono da integrarsi con gli altri codici di comportamento emanati dalle associazioni di settore. Questi codici specifici, infatti, possono fornire elementi di dettaglio da seguire nelle procedure preventive dei reati. L'intento di questo contributo è quello di mettere in luce le maggiori novità della versione attuale delle Linee Guida.

Stante l'importanza del tema e la complessità del documento in analisi, lo studio è suddiviso in due parti.

La prima parte riguarda le novità contenute nel documento principale: le “linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231”, versione del giugno 2021.

Fonte: ilsocietario.it

Tra gli elementi riproposti in nuova veste nella versione aggiornata delle Linee Guida di Confindustria per la costruzione del Modello 231 svetta, indubitabilmente, la parte dedicata all'attività prodromica alla redazione del Modello stesso: l'analisi e la gestione del rischio. A tal riguardo, è bene precisare che già la precedente versione delle Linee Guida avesse proposto delle elaborazioni tecniche più che solide, che erano (e sono) considerate un punto di riferimento per i professionisti operanti nel settore. Tant'è che la versione di nuova emissione delle Linee Guida ripropone, per larghi tratti, le nozioni che già abbiamo imparato a conoscere (ed apprezzare) nella versione del 2014, senza stravolgerne l'impostazione metodologica originaria.

Anzitutto, l'Associazione di categoria ha inteso mettere a fuoco il concetto di “rischio accettabile”, nozione i cui spigoli definitori sono stati smussati, nel tempo, anche grazie al fondamentale contributo della giurisprudenza di legittimità. Ebbene, fissare la definizione di rischio accettabile è un passaggio imprescindibile laddove ci si approcci alla costruzione di un “sistema di controllo”, proprio perché rappresenta la soglia entro la quale gli sforzi preventivi dell'ente risultano attuabili ed esigibili. Le difficoltà definitorie derivano anche dal fatto che, nelle logiche di compliance aziendale proprie del D.Lgs. 231/01, vengono imposti standard normativi che un Modello di organizzazione e gestione deve necessariamente soddisfare, affinché possa essere considerato idoneo a prevenire i reati. Circoscrivere il perimetro del rischio considerato “accettabile” è un obiettivo irrinunciabile. Conscia di ciò, la commissione incaricata di elaborare le suddette Linee Guida ha deciso di imperniare la propria definizione sugli indici normativi inseriti nel Decreto, considerando le logiche del criterio della “elusione fraudolenta” di cui all'art. 6, comma 1, lett. c) del D.Lgs. 231/01, e così individuando la soglia specifica di accettabilità del rischio in un “sistema di prevenzione tale da non poter essere aggirato se non fraudolentemente”. Questo approdo induce a ritenere che il rischio accettabile coinciderebbe con quello risiedente nel campo delle condotte umane attuate per iniziativa autonoma ed in spregio del sistema organizzativo dell'ente. Così presentato, il concetto può apparire vago ed indeterminato. È fondamentale colorare di significato il concetto di fraudolenza, caratterizzare meglio la condotta della persona fisica autrice del reato presupposto. Le Linee Guida, richiamandosi alla Giurisprudenza della Corte di Cassazione (Cass. Pen. Sez. V, Sent. n. 4677/2014), provvedono in tal senso, evidenziando come debba ritenersi “fraudolenta” ai sensi del Decreto 231 quella condotta non già caratterizzata da veri e propri artifici e raggiri (tipici della truffa), bensì consistente in un aggiramento delle misure di sicurezza idoneo ad eluderne l'efficacia preventiva. Viene specificato come detto criterio si atteggi, inevitabilmente, in maniera differente a seconda che l'illecito che si intende prevenire abbia una natura dolosa ovvero colposa. Con riguardo alle categorie di reato contenenti illeciti colposi, quali quelle di cui all'art. 25-septies (salute e della sicurezza sul lavoro) e 25-undecies (reati ambientali) del Decreto, il concetto di rischio accettabile viene declinato in maniera parzialmente differente.

Non sussistendo, infatti, alcuna volontà diretta alla realizzazione dell'evento lesivo, negli illeciti colposi, la soglia di accettabilità viene ricondotta alla verificazione della condotta in violazione del modello organizzativo e di prevenzione, nonostante la puntuale osservanza degli obblighi di vigilanza previsti dal Decreto 231. Il rischio accettabile si collocherà in quell'area di eventi impossibili da prevenire, anche a fronte dell'adozione di adeguati standard tecnico-scientifici di prevenzione. Le Linee Guida evidenziano anche l'impossibilità di esigere, da parte dell'ente, il raggiungimento di presidi tali da consentire l'azzeramento del rischio: dovrà essere raggiunto un equilibrio di proporzionalità che consideri le attività compiute e le caratteristiche dimensionali della persona giuridica stessa. In ogni caso, negli illeciti dolosi, affinché si possa dimostrare l'idoneità preventiva del modello, occorrerà dimostrare che l'autore del reato sia stato costretto a forzare determinate misure di controllo e prevenzione. Diversamente, negli illeciti colposi verrà considerata la sola condotta, a prescindere dall'evento verificatosi in conseguenza della stessa. Le Linee Guida Confindustria affermano l'importanza della procedimentalizzazione nello sviluppo del sistema di controllo e prevenzione dei reati ex D.Lgs. 231/01. Essa ricomprende anche il fondamentale passaggio della reciproca integrazione con sistemi di compliance diversi ed ulteriori rispetto al Modello organizzativo 231, come i Sistemi di Gestione certificati(quali, ad esempio, ISO 45001 o ISO 14001). Fondamentale, quindi, concertare l'intervento di diversi sistemi, controlli, funzioni aziendali, affinché siano evitate ridondanze tali da generare confusione, perdite di tempo e, alla fine, scarsa efficacia nella prevenzione dei reati. Per tali ragioni, Confindustria suggerisce di improntare la propria azione di prevenzione secondo le logiche della compliance integrata, il cui operato può consentire agli enti di razionalizzare la propria attività, migliorare l'efficacia e l'efficienza del proprio operato, agevolare la collaborazione tra i diversi soggetti aziendali. Abbracciare tale ratio di coordinamento può facilitare lo sviluppo delle attività di risk assessment nei vari settori, permettendo un afflusso costante e coerente di informazioni verso l'OdV; nondimeno, può garantire lo sviluppo di procedure comuni e condivise, evitando inutili complicazioni e duplicazioni del lavoro e della sua documentazione (soprattutto in capo alle funzioni aziendali coinvolte in molteplici processi). Le Linee Guida consigliano alle società che debbano rispettare diverse normative, di agire in un'ottica di semplificazione, tenendo conto, nella predisposizione e nell'integrazione delle singole procedure, delle necessità correlate a ciascun profilo di compliance, così ottimizzando l'esecuzione di ogni adempimento.

Oltre a rendere omogenee le procedure aziendali, è fondamentale anche l'instaurazione di un proficuo coordinamento tra le varie funzioni aziendali coinvolte (Direttore Generale, RSPP, Collegio Sindacale, Internal Audit, OdV, ecc.). In quest'ottica, pertanto, è necessario affrontare la costruzione di un Modello 231 che sia in grado di abbracciare ogni altro sistema gestionale, assurgendo ad un canale di raccordo tra le varie esigenze di compliance interne (sicurezza, fiscale, anticorruzione, ecc.). Il Modello, infatti, risponde ad esigenze diverse rispetto a quelle dei singoli canali di compliance, ma riunisce al proprio interno varie necessità di efficientamento del sistema, ivi accomunate dallo scopo ultimo dell'impedimento di condotte illecite. Un esempio classico della summenzionata compenetrazione tra Modello 231 e sistemi di gestioni è collocabile nell'ambito della gestione del rischio correlato a malattie professionali ed infortuni. La normativa di cui al D.Lgs. 81/2008 è infatti applicabile universalmente alle società operative, e l'urgenza di rispettarne i precetti è largamente avvertita. In tali contesti viene in soccorso al Modello 231 l'operato di auditor certificatori esterni, che, in applicazione degli standard internazionali vigenti in materia, possono o meno conferire certificazioni atte a validare la struttura organizzativa interna dell'ente sotto il profilo della prevenzione antinfortunistica. In questo particolare caso vi è finanche una norma, quella prevista dall'art. 30, comma 5, del D.Lgs. 81/2008, che stabilisce una sorta di “presunzione” di idoneità del Modello Organizzativo 231 adottato dalla società che abbia altresì elaborato le proprie misure interne nel rispetto delle Linee Guida UNI INAIL, ovvero conseguito una certificazione ISO 45001. Questo, dunque, il modus operandi che le Linee Guida Confindustria auspicano sia tenuto nella realizzazione di un sistema di un efficace sistema di controlli. Approccio che deve accompagnare l'ente lungo tutta la propria attività di gestione del rischio. Confindustria individua due possibili approcci per la gestione operativa del rischio: l'intervento di un organismo aziendale all'uopo identificato, che possa affiancare il management di linea; l'autovalutazione da parte del management operativo, con il supporto di un tutore/facilitatore metodologico.

Le Linee Guida articolano il procedimento per la gestione del rischio in tre fasi principali:

I fase: Inventariazione degli ambiti di attività aziendale

Sono previsti tre canali alternativi: catalogazione delle singole attività svolte; esposizione delle varie funzioni aziendali; analisi dei singoli processi. Indipendentemente dal metodo prescelto, tale attività deve consentire una revisione periodica della realtà aziendale e dei rischi di reato esistenti, anche considerando la casistica e la storia dell'ente stesso. Per ciascuna categoria di reato, andranno considerate quelle aree che costituiscono un rischio diretto e quelle a rischio indiretto (c.d. strumentale) di realizzazione dell'illecito. Un aspetto fondamentale è l'identificazione dei Responsabili di funzione: persone fisiche di riferimento per ciascuna singola area di operatività ed i soggetti sottoposti all'attività di monitoraggio. Da questo punto di vista, molto importante è che sia sempre prestata la dovuta attenzione anche al rischio di concorso dell'ente nel reato commesso da terzi, come può avvenire nel contesto di un appalto o della terziarizzazione di una qualsivoglia attività (magazzino, pulizie, guardiania, ecc.). Sotto tale punto di vista, le soluzioni indicate spaziano dallo svolgimento di attività preventive di verifica sui soggetti partecipanti alle gare, passando per l'applicazione di criteri di selezione che non siano orientati sul prezzo al ribasso, sino a giungere a divieti di subappalto. Utile può essere anche il ricorso a strumenti esterni di valutazione del fornitore, quali rating di legalità AGCM, inserimento nelle white lists di cui alla Legge 190 del 2012, ecc. È, quindi, necessario che sia svolta una adeguata due diligence preliminare nel caso di contratti rilevanti.

II fase: Analisi dei rischi potenziali

Tale fase deve esitare nella mappatura dei rischi aziendali, tipicamente espressa nella forma di una tabella riassuntiva ed espressiva dei valori di rischio correlati a ciascuna area e/o categoria di reato. Nella redazione occorrerà tenere conto degli elementi emersi nel corso della prima fase, delle modalità attuative dei reati nelle singole aree e dello storico della società.

III fase: Valutazione/costruzione/adeguamento del sistema di controlli preventivi

Una volta vagliate le fonti di rischio che peculiarmente si legano alle proprie caratteristiche ed alle attività svolte, l'ente dovrà necessariamente valutare l'adeguatezza dei presidi preventivi già in essere. Tali presidi, se presenti, posso rivelarsi già efficaci e sufficienti per stemperare il rischio di reato. Qualora non dovessero esserlo, l'ente dovrà attivarsi al fine di colmare il gap esistente tra a propria situazione attuale (c.d. As Is), e quella che garantirebbe, invece, il contenimento del rischio entro i limiti di accettabilità (To Be). L'attività comporta, quindi, la costruzione e lo sviluppo di controlli preventivi, laddove assenti, ovvero il potenziamento/aggiornamento degli schemi di controllo già approntati. Con riferimento ai sistemi di controllo preventivo, le Linee Guida ribadiscono il concetto già espresso sopra, secondo cui è auspicabile la creazione di un apparato organico di controlli che, tramite il coordinamento, consenta di ottimizzare i tempi ed evitare duplicazioni all'interno delle procedure. In ogni caso, al termine dell'attività di cui alla presente fase dovrà risultare un sistema di controlli che, per i reati dolosi, sia superabile solo tramite un aggiramento fraudolento, mentre per i colposi risulti violato pur considerata la puntuale osservanza degli obblighi di vigilanza da parte dell'apposito organismo. Vengono individuati tre livelli di controllo:

1) il controllo di linea, generalmente svolto da soggetti interni alla struttura;

2) il controllo da strutture tecniche aziendali competenti in materia e indipendenti da quelle del 1° livello;

3) il controllo svolto dall'Internal audit, presente nelle strutture più complesse.

Le Linee Guida forniscono, infine, un elenco esemplificativo dei più rodati strumenti di controllo implementabili al fine di contenere il rischio di reato. Viene proposta una differenziazione tra i controlli intesi a prevenire i reati dolosi e quelli diretti ad impedire illeciti di natura colposa. Si riportano, a titolo esemplificativo, alcuni di tali presidi: il Codice Etico, la struttura organizzativa interna, la formazione, i flussi informativi, il c.d. whistleblowing.

In conseguenza della Legge 157/2019 e del D.Lgs. 75/2020 sono divenuti rilevanti (senza più dubbi) alcuni reati tributari. Ed è per questa ragione che le Linee Guida in commento offrono un approfondimento circa il sistema dei controlli preventivi da adottare nella compliance fiscale. Un aspetto che subito risalta nella lettura del documento è che a questo argomento viene dato spazio tanto quanto ai controlli preventivi in ambito di sicurezza ed ambiente. Ciò dimostra che, a seguito dell'introduzione dei reati tributari come nuova categoria di reati-presupposto alla responsabilità dell'ente ai sensi del Decreto 231, l'Associazione di categoria si prefigura una grande importanza pratica della compliance fiscale, a prescindere dalla dimensione e dal settore in cui opera l'azienda. Come mitigazione del rischio fiscale Confindustria propone anzitutto un adeguamento di quanto già previsto dalla normativa vigente in tale ambito (c.d. “compliance fiscale”) oltre al riferimento ad altre normative che impongono trasparenza ed attendibilità circa le informazioni economico-finanziarie date dall'azienda. Il riferimento chiave nella mitigazione del rischio fiscale è però certamente il TFC - Tax Control Framework - sistema di valutazione e mitigazione del rischio fiscale. Con il D.Lgs. 128/2015 è stato introdotto il regime di adempimento collaborativo per le imprese di maggiori dimensioni con l'Agenzia delle Entrate (“AdE”). Tale sistema di autovalutazione preventiva del rischio e di interlocuzione privilegiata con l'AdE ha lo scopo di presidiare ogni processo aziendale tributario nell'interesse della società e dell'AdE. Il sistema permette all'azienda una buona valutazione e gestione del rischio tributario. Confindustria indica tale apparato come via importante da percorrere anche per quelle aziende che ne sarebbero escluse in quanto applicabilità soggettiva alla normativa. Esso, quanto a struttura e schema, è in forte analogia con l'intero impianto del Modello organizzativo ex D.Lgs. 231/2001, prevedendo risk assessment e risk manegement specifici per il settore fiscale, può costituire quindi “la piattaforma per orientare i modelli organizzativi verso un contenimento del rischio di commissione dei reati tributari” introdotti con l'art. 25-quinquiesdecies del Decreto 231.

Anche la dottrina sostiene che il TCF sia un presidio importante da osservare per la mitigazione e gestione del rischio fiscale. Il TCF ha comunque una portata più ampia rispetto alla categoria dei reati tributari ex D.Lgs. 231/2001 e da solo non può essere sufficiente per l'esonero da responsabilità da reato. Occorrono, altresì, una più ampia ed articolata attività di prevenzione dei reati in esame, che siano garantiti i flussi informativi verso l'OdV, che sia attuato un canale di whistleblowing, che sia presente un sistema disciplinare e che l'OdV svolga la propria attività di vigilanza, controllo e funzione consultiva. In sintesi che il Modello organizzativo sia nel suo complesso efficacemente attuato. Per un migliore approfondimento di dettaglio dei presidi idonei alla prevenzione dei reati tributari si rinvia alla parte speciale del presente contributo.

All'art. 6, comma 2-bis, del Decreto 231 sono state inserite nuove previsioni a seguito della Legge n. 179/2017. La Legge si pone l'obiettivo di incentivare la segnalazione da parte del personale di fenomeni corruttivi che si possano verificare all'interno dell'ente privato senza subire conseguenti ritorsioni o atti discriminatori per effetto della segnalazione. La disciplina sul whistleblowing viene introdotta in Italia sulla spinta di organismi internazionali impegnati a contrastare la corruzione. Per l'effetto di tale normativa gli enti dotati di Modello organizzativo ex Decreto 231 devono:

1) dotarsi di uno o più canali che permettano la possibilità per il personale, in ragione della funzione svolta, di segnalare comportamenti che pongano in pericolo l'integrità dell'ente e che possano garantire la riservatezza dell'identità del segnalante.

2) di avere almeno un canale alternativo di segnalazione idoneo a garantire con modalità informatiche la riservatezza dell'identità del segnalante.

La segnalazione al fine di poter facilitare le eventuali indagini sul contenuto della stessa deve essere precisa e circostanziata e naturalmente fatta in buona fede. In relazione alla riservatezza dovrà essere garantita in tutte le diverse fasi di gestione della denuncia. Da non confondere la riservatezza con il concetto di anonimato. Per garantire la riservatezza dell'identità del segnalante occorre che egli sia riconoscibile e quindi non anonimo. Naturalmente non è preclusa la possibilità che l'ente possa prevedere nel proprio Modello organizzativo un canale di segnalazione anonima, che, comunque, è fuori dal perimetro della normativa in esame. Va da sé che la segnalazione non anonima è sempre da preferire, perché un'interlocuzione con il segnalante diventa fondamentale per indagare ed approfondire ogni aspetto connesso al contenuto della segnalazione. Nello spirito di integrazione delle Linee Guida in commento le stesse richiamano anche le Linee Guida ANAC del 2015 in materia di tutela del dipendente pubblico che segnala illeciti ove sono stati formulati alcuni principi che possono essere mutuati anche negli enti privati, in quanto compatibili con la Legge 179/2017. Svolta questa premessa si esaminano ora gli aspetti applicativi della normativa. La garanzia della riservatezza sull'identità del segnalante mediante modalità informatiche può essere attuata con il ricorso a piattaforme informatiche, interne o gestite da terze società specializzate, o tramite caselle di posta elettronica dedicate e con le opportune garanzie di riservatezza. L'altro canale di segnalazione (non telematico) potrà essere una cassetta postale ubicata in azienda, oppure si potrà ricorrere al servizio di posta ordinario. In tale ambito a seguito dell'entrata in vigore del Regolamento Privacy (UE) 2016/679 GDPR, dovrà essere rispettata la relativa normativa. Anche il sistema disciplinare dovrà tenere conto delle eventuali violazioni alle nuove disposizioni introdotte e qui in commento. Da segnalare, inoltre, che la Legge 179/2017 ha integrato l'art. 6 del D.Lgs. 231/2001 con due nuove ulteriori disposizioni:

1) il segnalante e l'organizzazione sindacale di riferimento possono denunciare all'Ispettorato Nazionale del Lavoro le misure discriminatorie eventualmente adottate dall'ente.

2) Viene sancita la nullità di tutte le azioni discriminatorie e ritorsive poste in atto per effetto della segnalazione come il licenziamento e/o il mutamento di mansioni assunte nei confronti del whistleblower.

Cruciale è poi individuare il destinatario delle segnalazioni che dovrà essere indicato nel Modello organizzativo. I possibili destinatari, come individuati da Confindustria, sono:

1) L'organismo di vigilanza;

2) Il responsabile della funzione compliance;

3) Un comitato composto da varie funzioni (ad es. legale, Internal audit, HR);

4) Ente o soggetto terzo specializzato che possa occuparsi di gestire la segnalazione in coordinamento con l'ente;

5) Il datore di Lavoro nelle PMI.

È fondamentale considerare che le indicazioni in materia di whistleblowing fornite dalle Linee Guida, ancorché estremamente utili ai fini dell'adozione di un corretto approccio metodologico in tale ambito, dovranno tenere conto delle innovazioni apportate dalla Direttiva UE/2019/1936 e dal suo recepimento ex lege 53/2021. Di fondamentale utilità, per un inquadramento tuttotondo della materia, risultano essere le Linee Guida recentemente emanate da ANAC per la protezione del segnalante (Delibera n. 469 del 9 giugno 2021). L'Organismo di vigilanza può in ogni caso essere individuato come destinatario autonomo e indipendente delle segnalazioni. In ogni caso, l'OdV dovrà essere necessariamente coinvolto per evitare che le segnalazioni giunte tramite tale meccanismo possano sfuggire al suo controllo. Da sempre è stata ribadita da dottrina e giurisprudenza l'importanza dei flussi informativi verso l'OdV. Per tale ragione, a parere di scrive, non si può prescindere da un coinvolgimento dell'OdV nel canale whistleblowing. Tale coinvolgimento potrebbe ben verificarsi anche in una seconda fase, quella che segue una prima scrematura da parte di altra funzione che valuti, tra l'altro, cosa sia o meno rilevante 231. Concludendo si ribadisce che la mancata previsione dei canali di segnalazione come previsti dal novellato art. 6 del D.Lgs. 231/2001 comporteranno la non efficace attuazione del Modello organizzativo con conseguente giudizio di inidoneità dello stesso.

Tra le novità delle nuove Linee Guida devono essere menzionare la c.d. DNF – Dichiarazione di carattere non finanziario. Tale dichiarazione è normata dal D.Lgs. 254/2016 che ha recepito la Direttiva 95/2014/UE - “Direttiva Barnier” - a cui sono tenuti enti di interesse pubblico (definizione contenuta all'art. 16, comma 1, D.Lgs. n. 39/2010) che hanno tali caratteristiche:

1) Numero di dipendenti superiore a 500, con almeno uno di questi limiti dimensionali: stato patrimoniale superiore a 20.000.000; totale ricavi netti delle vendite e delle prestazioni superiore ad Euro 40.000.000;

2) Società madri di un gruppo di grandi dimensioni che presentano i requisiti di cui al punto precedente.

Tali enti sono tenuti a rendere una dichiarazione su alcuni temi rilevanti in ambito ambientale, sociale, gestione del personale, anticorruzione, rispetto dei diritti umani ecc. Tra i contenuti ritenuti essenziali dell'informativa quello di indicare il modello di organizzazione e gestione dell'attività di impresa nel caso adottato ai sensi del D.Lgs. 231/2001, le politiche implementate, i risultati conseguiti ed i principali rischi. La DNF viene redatta sulla base di una rendicontazione, la cui metodologia deve essere spiegata nel documento e che può fare riferimento alle Linee Guida in materia pubblicate il 26.06.2017 dalla Commissione UE. La DNF deve essere verificata dall'incaricato della revisione legale del Bilancio. Per la relativa attestazione di conformità si rinvia alla Delibera CONSOB n. 20267 del 18.01.2018. Si può aderire anche volontariamente a tale normativa. L'organo deputato alla verifica circa l'esatto adempimento di cui alla normativa in esame ed alla pubblicazione della DNF è la CONSOB che ha anche potere di sanzionare gli enti nel caso di irregolarità.

Confindustria dedica ampio spazio all'Organismo di Vigilanza, ai suoi requisiti, alla sua funzione, alla sua composizione, ai propri compiti e doveri, ai flussi informativi ed ai profili di responsabilità.

Tale scelta sistematica è certamente condivisibile, proprio perché l'OdV ha un ruolo fondamentale nel sistema 231 delineato dal Legislatore. Come noto, ma è sempre bene rammentarlo, sono due i pilastri perché l'ente possa andare esente da responsabilità ai sensi del Decreto 231: l'adozione e l'efficace attuazione di un Modello di organizzazione e gestione e la nomina di un organismo di vigilanza deputato al controllo dello stesso. Sui requisiti che deve avere l'organismo di vigilanza, sia esso in composizione monocratica o collegiale, le nuove Linee Guida non profondono particolari sforzi, confermando quanto già indicato nella versione precedente del documento.

L'OdV deve avere le seguenti caratteristiche: autonomia ed indipendenza, professionalità e continuità d'azione. Interessante lo schema riassuntivo proposto da Confindustria alla pagina 82 del documento sui requisiti dell'OdV. In sintesi, emerge che l'OdV dovrà essere organo terzo ed indipendente rispetto all'ente che lo nomina: ciò si traduce nella mancanza di funzioni prettamente operative, nell'assenza di identità tra “controllato” e “controllore”, nella previsione di cause di ineleggibilità e decadenza dell'OdV che garantiscano onorabilità, assenza di conflitti di interessi, relazioni di parentela con il vertice e gli organi sociali. L'OdV dovrà essere organo competente, esperto della materia ed in grado di svolgere il proprio ruolo e le attività a cui è deputato. L'azione dell'OdV, infine, dovrà essere continuativa e tale continuità di azione potrà essere garantita anche dal supporto all'OdV di una struttura organizzativa ad hoc. Ciò che merita, invece, maggior approfondimento in tale sede è come accertare se all'interno di un ente vi siano già funzioni o strutture che possano ricoprire il ruolo di OdV o se occorre individuarne al di fuori dell'ente. Su tale tema, Confindustria spende un'analisi dettagliata. Viene ritenuta non opportuna la scelta di far svolgere il ruolo di OdV alle funzioni legale, HR, amministrativa ed al R.S.P.P. Le prime tre funzioni infatti difetterebbero del requisito di indipendenza mentre il R.S.P.P. ricopre un ruolo molto operativo ed è inserito in un sistema di precise gerarchie aziendali.

Diverse considerazioni vengono invece svolte in relazione al Collegio sindacale, al Comitato controllo e rischi ed all'Internal Auditing, istituiti con il compito precipuo di vigilare sul sistema di controllo interno e di gestione dei rischi. Veniamo alle considerazioni svolte da Confindustria in relazione all'assunzione dell'incarico dell'OdV da parte del Collegio Sindacale. La Legge di stabilità per il 2012 ha dato facoltà alle società di affidare al Collegio le funzioni di OdV. A sostegno di tale scelta viene richiamato il Codice di Corporate Governance che raccoglie le best practice e le migliori soluzioni organizzative per il più efficace adeguamento ai principi di Corporate Governance. Inoltre, nel predetto Codice si prevede che qualora non venga attribuita al collegio sindacale la funzione di OdV, venga comunque nominato all'interno dell'OdV, in tal caso collegiale, un membro del collegio e/o amministratore non esecutivo e/o il titolare di funzioni legali o di controllo della società. Questa particolare composizione dell'OdV è certamente possibile per le società di medio grandi dimensioni, pur comportando un possibile conflitto d'interessi nei controlli. Si rendono necessarie alcune precisazioni a riguardo, infatti. Occorre valutare in concreto l'opportunità di investire il Collegio sindacale del ruolo di OdV in considerazione della complessità organizzativa e dell'attività svolta dall'ente. Così come dovrà essere tenuto in debita considerazione il requisito della professionalità richiesto all'OdV, soprattutto come competenza giuridica e legale (penalistica), poiché i sindaci hanno, in genere, competenze elevate in ambito contabile, amministrativo e strettamente connesse all'attività di controllo sull'operato degli amministratori. Inoltre, qualora sia affidato al medesimo organo (collegiale) il ruolo di Collegio e OdV dovrà essere oggetto di attenta valutazione la scelta per evitare possibili conflitti di interesse o carenze nel sistema di controlli. In tal caso, infatti, verrebbe a mancare il confronto tra soggetti e competenze diverse, che rappresentano elemento qualificante dei controlli. Nell'ipotesi di differenziazione dei due organi, la raccomandazione di Confindustria è che debbano essere garantiti flussi informativi tra OdV e Collegio sindacale, perché possano scambiarsi reciproche informazioni di rilevanza ai sensi del Decreto 231. Tra le opzioni possibili per la composizione dell'OdV prospettate da Confindustria ci sono, poi, l'attribuzione del ruolo al Comitato controllo e rischi, per le società che ne sono dotate, che svolge una funzione similare a quella dell'OdV e l'affidamento del ruolo all'Internal Auditing, qualora sia una prevista tale specifica funzione in azienda. Restano valide le considerazioni generali sopra svolte: valutare sempre, caso per caso, la miglior composizione dell'organismo, in modo da garantire il rispetto dei requisiti richiesti dal Decreto 231.

Confindustria, nel silenzio del Decreto 231, ricorda le nozioni di gruppo ricavabili dal Codice civile con riferimento al controllo ed al collegamento (art. 2359 c.c.) ed alla direzione ed al coordinamento (art. 2497 c.c.). Proprio a causa della complessità delle relazioni infragruppo sarebbe auspicabile un intervento normativo sul punto con specifico riguardo al D.Lgs. 231/2001. Spunti definitori sulla nozione di gruppo di imprese li troviamo, in ambito bancario dove il T.U. delle leggi in materia bancaria e creditizia (D.Lgs. n. 385 del 01 settembre 1993) fornisce una definizione del fenomeno di gruppo oltre a regole inerenti alla Corporate Governance (artt. da 59 a 64) e nel settore assicurativo, nel Codice delle assicurazioni private (D.Lgs. n. 209 del 07 settembre 2005 – articoli da 82 ad 87 e dal 215 al 216). Da ultimo, poi, uno spunto definitorio è stato fornito anche dal nuovo Codice della Crisi di impresa (D.Lgs. n. 14 del 12 gennaio 2019, art. 2, lett. h). Le Linee Guida affermano, in sintonia con il documento previgente, che non sia sufficiente imputare la responsabilità sulla base del solo rapporto di controllo tra la società capogruppo e le società controllate. Sul punto Confindustria cita la sentenza emessa dalla Corte di Cassazione, Sez II, nel 2016, n. 52316, che ha meglio puntualizzato i seguenti presupposti per l'imputazione ai sensi del Decreto 231 nei confronti della società holding:

1. la consumazione di uno dei reati presupposto indicati dal D.Lgs. n. 231 del 2001;
2. il reato presupposto è stato commesso da una persona fisica che abbia con l'ente rapporti di tipo organizzativo-funzionale, è cioè necessario che l'agente rivesta una posizione qualificata all'interno della società holding;
3. il reato presupposto sia stato commesso nell'interesse o a vantaggio dell'ente controllante: elemento da accertarsi in concreto.

Confindustria raccomanda che la holding e le società controllate si dotino ciascuna di un proprio modello organizzativo e provvedano a nominare i relativi organismi di vigilanza. A completamento di quanto indicato dalle Linee Guida si ritiene utile ricordare l'utilità della coincidenza, almeno parziale, tra i membri dell'OdV che, in tal modo, possono fungere da costante collegamento nel controllo, garantendo la conoscenza dell'intero Gruppo e raccogliendo a fattor comune le informazioni provenienti da più società, senza dover gravare eccessivamente sui flussi informativi tra gli organismi. Tali accorgimenti garantiscono che i singoli modelli siano congruamente calati nella realtà e, per i singoli organismi di vigilanza, che gli stessi garantiscano un controllo “diffuso”, comunque idoneo a prevenire la c.d. “risalita” della responsabilità da una società ad un'altra. Ulteriore raccomandazione viene poi individuata nell'opportunità, per la società capogruppo, di impartire indicazioni che sollecitino le imprese controllate ad adottare gli opportuni compliance programs. Tale scelta, però, viene indicata sempre nel rispetto dell'autonomia decisionale delle società controllate. Un'ingerenza da parte della holding potrebbe infatti destare elementi di sospetto sulla possibilità che il gruppo sia in realtà una fictio rispetto alla reale esigenza di fornire all'impresa una struttura organizzativa complessa. Sul punto, la dottrina giunge a consigliare che la società controllante vigili sull'effettiva attuazione del Modello. È consigliata la prassi di adottare un codice etico di gruppo che raccolga i principi e le regole condivise, cui, poi, potranno aderire le singole società controllate. Altra tematica che viene affrontata nelle nuove Linee Guida è quella relativa ai gruppi di imprese transnazionali, per i quali viene fornita la raccomandazione principale di coordinare i compliance programs delle diverse società nell'ottica di rispettare le normative vigenti nei diversi paesi in cui le imprese controllate operino. Quanto sopra dovrebbe avvenire nei seguenti modi: i) il codice di comportamento dovrà considerare la natura transnazionale di alcune operazioni; ii) i soggetti apicali e sottoposti che svolgono attività in ambito transnazionale dovranno essere adeguatamente formati sui profili di rischio; iii) adozione di compliance programs che garantiscano la capacità di adattarsi alle diverse normative vigenti nei vari paesi stranieri; iv) identificazione di principi minimi comuni affermati dalla holding per le singole controllate. Anche il documento aggiornato, però, non specifica la possibile distinzione tra il gruppo con holding italiana ed il diverso caso in cui la holding sia straniera ed abbia delle branches o delle controllate in Italia. L'aspetto non è passato inosservato ad attenta dottrina che ha puntualizzato come, in caso di holding italiana, questa possa essere chiamata a raccomandare alle controllate il rispetto delle normative straniere omologhe al D.Lgs. n. 231 del 2001 (ad esempio Loi Sapin II in Francia e la Ley Organica in Spagna).

Termina così la prima parte di analisi delle nuove Linee Guida, ricordando che l'analisi continua con la prossima pubblicazione della seconda parte riguardante l'appendice (Case Study) al documento principale.