L’evoluzione della tutela del patrimonio aziendale secondo Giuseppe Catalano

Giuseppe Catalano

Giuseppe Catalano, presidente di AIGI (Associazione Italiana Giuristi d’Impresa) e segretario del CdA di Generali, è uno degli autori del volume “La tutela penale del patrimonio aziendale” a cura di Guido Stampanoni Bassi (Zanichelli Editore) che verrà presentato il 28 settembre al Senato.

Alla luce della sua esperienza, Catalano ha descritto nel manuale l’evoluzione della normativa sulla governance aziendale nell’ultimo decennio, tanto negli aspetti dell’organizzazione quanto in quelli della vigilanza, soffermandosi sul sistema modellato dal Decreto 231 ma giungendo fino al nuovo schema della “colpa di organizzazione” e su come affrontarlo all’interno delle aziende.

Con il passare degli anni, ed è una tendenza in crescita, il concetto di patrimonio prima collegato soprattutto ai beni materiali si è spostato verso beni immateriali quali dati, marchi, brevetti, segreti, know-how, diritto d’autore, informazioni privilegiate, brand reputation, legalità, sostenibilità. Ma anche le minacce al patrimonio sono mutate: fonti “interne” (come dipendenti infedeli) o “esterne” (attacchi informatici). Nella sua esperienza la governance aziendale costituisce uno strumento utile di prevenzione dei rischi di commettere reati? E quali sono le norme fondamentali in materia?

La risposta alla prima domanda è assolutamente sì. Quanto alla legge, pochi periodi hanno segnato il diritto commerciale e soprattutto il diritto societario italiano come il decennio a cavallo tra fine dello scorso millennio e l’inizio di quello attuale. Volendo cercare, tra i tanti interventi normativi un’alfa e un omega per l’analisi, la prima potremmo individuarla nel D.Lgs. 24 febbraio 1998, n. 58 (TUIF), ed il secondo con il D.Lgs. 9 aprile 2008, n. 81 (TUS). Due testi unici, che raccolgono le leggi in settori – rispettivamente, quello che qualche lustro fa veniva definito dell’intermediazione finanziaria, nozione oggi un po’ “impolverata”, e quello della sicurezza sul lavoro – che appaiono distanti anni-luce l’uno dall’altro ma che invece, per motivi diversi, hanno un impatto sulla vita quotidiana di ognuno di noi molto rilevante.

Perché parla di alfa e di omega?

Perché questi due testi contengono alcune norme emblematiche divenute punti di riferimento per chi cerca di prevenire l’avverarsi del “rischio legale” e in particolare della commissione di reati. Mi soffermo sulla prima delle due norme (art. 149, lett. c TUIF) dove si postula che il collegio sindacale (all’epoca unico organo di controllo possibile nella società di capitali) vigili – oltre che sull’osservanza della legge e dell’atto costitutivo e sul rispetto dei principi di corretta amministrazione, nonché sull’adeguatezza delle disposizioni impartite dalla società alle società controllate – «sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione». E che tale compito non fosse confinato ad una mera astrazione era confermato dal disposto del successivo art. 151, terzo comma, che riconosceva ai sindaci la possibilità di avvalersi di propri dipendenti e ausiliari «al fine di valutare l’adeguatezza e l’affidabilità del sistema amministrativo-contabile». Insomma, per la prima volta, in Italia, un testo normativo richiedeva la necessità che una società (seppur solo quotata) non solo si dotasse di una struttura organizzativa, di un sistema di controllo interno e di un sistema amministrativo-contabile, ma che essi fossero “adeguati”. In termini generali, a proposito di adeguati assetti organizzativi, le riforme emergenti tra la fine del XX e l’inizio del XXI secolo hanno portato ad una tripartizione di competenze, in base alla quale gli amministratori esecutivi curano, il consiglio di amministrazione, nella sua interezza, valuta e infine il collegio sindacale vigila sull’adeguatezza degli assetti organizzativi, amministrativi e contabili della società per azioni.

Come si è evoluta successivamentre la normativa?

Proiettandoci 20 anni dopo il TUIF, si scopre che quell’intuizione – inizialmente limitata al settore finanziario – di elevare gli assetti organizzativi interni, cioè la governance interna ad elemento fondativo della solidità dell’impresa diventa una regola generale nel diritto societario. Con la modifica dell’art. 2086 c.c – primo step della più complessiva riforma delle procedure concorsuali e di risoluzione della crisi d’impresa – l’imprenditore ha infatti il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale. La “madre” di tutte le riforme in questo settore è però il modello di organizzazione e gestione previsto dal Decreto 231/2001.

È un sistema di auto-regolamentazione che funziona ed è tuttora valido?

Con l’introduzione del Decreto 231 del 2001 il nostro Paese si è dotato di un modello generale di responsabilità sanzionatoria degli enti collettivi, che si atteggia, per struttura, ad una sorta di mini-codice della responsabilità della societas. Sulla natura di questo tipo di responsabilità si è a lungo discusso. Da un lato c’era chi sosteneva che si trattasse di un modello di natura amministrativa, nonostante il procedimento contro l’ente non si svolgesse davanti a tribunali amministrativi o al Consiglio di Stato. Dall’altro, vi era un indirizzo che privilegiava, pur tra precisazioni e dubbi, la natura penalistica: secondo quest’impostazione, il Decreto 231 aveva introdotto nel nostro ordinamento uno specifico ed innovativo sistema punitivo, fuoriuscente dagli schemi tradizionali del diritto penale «finalizzato a integrare un efficace strumento di controllo sociale, contemperando i profili di general-prevenzione, primario obiettivo della responsabilità degli enti, con le garanzie che ne devono rappresentare il necessario contraltare». Tuttavia, negli ultimi anni la giurisprudenza pare essere orientata a ritenere tale regime un tertium genus di responsabilità. Insomma, un articolato sistema di responsabilità da reato che coniuga i tratti essenziali del sistema penale e di quello amministrativo. Una sorta di “terzo binario del diritto criminale”.

Quali erano gli obiettivi concreti del legislatore?

Il testo del 2001 nasce da un presupposto – si potrebbe dire – ideologico: che il reato “di impresa” affondi le sue radici in una struttura organizzata, che crea una propria “cultura” e una propria “strategia”; cosicché, il testo di legge punta al cuore delle organizzazioni complesse, con lo scopo di (spingere ad) implementare l’adozione (e l’efficace attuazione) di regole di comportamento che orientino l’agire organizzato verso la prevenzione ragionevole del rischio-reato e, dunque, in direzione della legalità. L’ambizione del legislatore è stata far sì che l’azienda, oltre ad interiorizzare la cultura della responsabilità verso i propri azionisti e tutti gli stakeholders, compresi dipendenti, fornitori e clienti, integri nella sua struttura tale cultura della legalità, proprio attraverso l’istituzione di adeguati meccanismi di autoregolazione: in poche parole, si dia una governance in tal senso. Lo si capisce anche dalle sanzioni che non si risolvono soltanto sul piano della deterrenza ma hanno significative caratteristiche preventive.

In che modo?

Il Decreto 231 pare aver orientato la sua attenzione verso l’idea della prevenzione all’interno dell’ente stesso, da perseguire attraverso il ricorso ai modelli di organizzazione, gestione e controllo del rischio-reato: questi ultimi lasciano immediatamente percepire il loro legame con i compliance programs statunitensi e, sviluppando l’esperienza dei codici etici, integrano modelli di comportamento specificamente rivolti a prevenire i reati e a scoprirne l’esistenza. La rotta è segnata: la (mancata) predisposizione di un (buon) assetto di governance interno volto a prevenire i reati ha una sua singolarità che porta ad enucleare la responsabilità “atomistica” dell’ente, separata da quella dei suoi rappresentanti.

Lei accennava al nuovo paradigma della “colpa di organizzazione”. Se esiste, come se ne dimostra l’assenza?

Ai sensi del Decreto 231 la responsabilità dell’ente sussiste anche quando l’autore del reato non viene identificato. E’ una norma molto importante che allontanando l’evento dalla responsabilità costringe gli enti a dotarsi d un soggetto – la governance interna – che funzioni al di là degli attori che lo interpretano. Insomma la legge ha posto in capo agli enti un vero e proprio dovere di organizzazione “autonomo”: ciò fa sì che la “colpa di organizzazione” traduca, sul terreno giuridico, la colpevolezza dell’ente stesso. E’ stata poi una recente pronuncia della Cassazione a definire con una certa dose di sicurezza e precisione i contorni della responsabilità in questione.

A quale sentenza fa riferimento?

Alla 23401/2022 con cui la Cassazione – nel ribadire come la colpa di organizzazione costituisca un «elemento costitutivo dell’illecito» – innanzitutto nega che l’art.6 del Decreto 231 preveda un’inversione dell’onere probatorio anche quindi nell’ipotesi del reato commesso da apicali, abbandonando quindi il rischio di facili scorciatoie ed affermando perentoriamente che la commissione del reato «non equivale a dimostrare che il modello [organizzativo] non sia idoneo …, [costituendo] uno degli elementi che concorre alla configurabilità o meno della colpa dell’ente, nel senso che la rimproverabilità di quest’ultimo e, di conseguenza, l’imputazione ad esso dell’illecito sono collegati all’inidoneità ed all’inefficace attuazione del modello stesso, secondo una concezione normativa della colpa. In estrema sintesi, l’ente risponde in quanto non si è dato un’organizzazione adeguata, omettendo di osservare le regole cautelari che devono caratterizzarla.

Chi vigila?

Sul funzionamento del modello organizzativo effettua il monitoraggio l’Organismo di Vigilanza istituito sempre ai sensi dell’art. 6 del Decreto 231, che deve essere dotato di autonomi poteri di iniziativa e controllo con autonomia e indipendenza (e continuità di azione) e che non può mai essere confuso con il vertice aziendale. Per mantenerne l’autonomia e l’indipendenza l’organismo dev’essere collocato al di fuori del processo decisionale dell’ente. Il tutto per creare «un sistema di compliance complesso, la cui finalità è la mitigazione del rischio-reato, posto che il rischio che un sottoposto o un apicale commetta un reato nell’interesse o a vantaggio dell’ente non potrà mai essere totalmente escluso. La cartina tornasole sul (buon) funzionamento di questo assetto sta nel prendere in considerazione il c.d. comportamento alternativo lecito, ovvero l’ipotesi in cui «l’osservanza della regola cautelare, al posto del comportamento inosservante, non avrebbe comunque consentito di eliminare o ridurre il pericolo derivante da una data attività. Se, cioè, l’evento realizzato a causa dell’inosservanza della regola cautelare risulta non evitabile, non vi è spazio per l’affermazione di colpa. Ne deriva che, nel caso in cui non sia possibile escludere con certezza il ruolo causale dei fattori di rischio considerati dalla norma cautelare, la responsabilità colposa non potrà essere affermata.

Difetti di questo impianto?

Se c’è qualcosa che non ha funzionato granché in questi anni è stata proprio la possibilità di avere un riferimento “parametrico” su cui testare il giudizio di adeguatezza del modello organizzativo. In teoria, questa funzione doveva essere svolta dalla procedura di verifica e controllo del Ministero della Giustizia, cui sono sottoposti i codici di comportamento adottati dalle associazioni di categoria. Ma questi codici, o linee-guida, non hanno sostanziale efficacia depenalizzante. In sostanza, spiega la Corte che che tale parametro non è vincolante. Anche se il giudice dovrà motivare specificamente le ragioni per cui si possa comunque ravvisare la “colpa di organizzazione”. Siamo quasi all’inversione dell’inversione (meglio, della presunta inversione) dell’onere probatorio, perché non solo è l’accusa che deve dimostrare la presenza della colpa organizzativa, ma – ove il modello appaia conforme ad un codice di comportamento che ha avuto il sigillo ministeriale – sta ad essa dimostrare anche quali siano le carenze dello stesso rispetto al parametro “autoregolamentare”.

Se volessimo riassumere il quadro?

La responsabilità dell’ente non si fonda più sull’addebito automatico di una colpevolezza individuale al soggetto collettivo, avendo invece bisogno della dimostrazione di un “difetto organizzativo”. Tale difetto è autonomo rispetto alla realizzazione del reato da parte della persona fisica e può persistere, portando ad una pronuncia di responsabilità dell’ente accusato, anche alla non condanna della persona fisica nei casi previsti dall’art. 8 del Decreto 231. La colpa di organizzazione, intesa come deficit auto-organizzativo, consiste quindi nella carenza nell’adozione – e nell’efficace attuazione – del complesso di regole elaborate per la prevenzione del rischio-reato, e che trovano il loro “compendio” nel modello di organizzazione, gestione e controllo. Il vaglio sull’adeguatezza del modello dev’essere compiuto dal giudice non solo e non tanto “in generale”, ma attraverso una verifica in concreto e, in particolare, attraverso la verifica dei risultati attraverso il comportamento alternativo lecito.

Nel complesso vede più luci o più ombre?

Purtroppo non si può eccedere in ottimismo. Infatti, a fronte di un quadro della responsabilità amministrativa degli enti che si va definendo anche grazie a decisioni coraggiose e lungimiranti della giurisprudenza di legittimità non mancano soluzioni estemporanee che sembrano riprendere un adagio secondo cui bad cases make bad rules.