Azienda, organizzazione, adeguatezza, compliance e 231!
Resoconto ed analisi di dove si vuole andare?
La riforma in discussione del D.lgs. 231/2001 sembra muoversi verso un’impostazione più coerente con la vera natura della responsabilità dell’ente: non più una costruzione quasi “derivata” dalla persona fisica (apicale o sottoposta), ma una responsabilità fondata direttamente sulla colpa di organizzazione.
E’ un passaggio importante perché supera, almeno in parte, il vecchio schema legato al brocardo societas delinquere non potest, che il sistema 231 ha già incrinato, introducendo una forma di responsabilità autonoma dell’ente nonché della società. Oggi però il baricentro resta ancora troppo ancorato all’autore materiale del reato e alla sua qualifica (artt. 5, 6 e 7 D.lgs. 231/2001).
La riforma tende invece a spostare il focus su tre punti: A) la centralità del deficit organizzativo. L’illecito dell’ente verrebbe letto come espressione di una carenza strutturale del sistema di prevenzione, indipendentemente dalla rigida dicotomia tra soggetti apicali e soggetti sottoposti.
Con ciò si avvicina il modello italiano ai sistemi di organizational fault (colpa di organizzazione) di matrice anglosassone; B) Modello organizzativo come prova positiva di compliance e non più solo “schermo difensivo”, ma documento dinamico di mappatura dei rischi-reato, con protocolli decisionali e flussi informativi nonché controlli; C) Integrazione tra compliance penalistica e governance societaria e qui entra in gioco l’art. 2086 codice civile che impone all’imprenditore collettivo di istituire gli adeguati assetti organizzativi, amministrativi e contabili ma pure rilevare tempestivamente i segnali di crisi e monitorare la continuità aziendale
Alcune immediate conseguenze sono evidenti con un possibile rafforzamento del principio secondo cui spetta al Pubblico Ministero (PM) dimostrare non solo il reato presupposto, ma anche la concreta inidoneità o inefficacia del modello. Questo è un punto cruciale sul piano probatorio: riduce l’effetto di inversione dell’onere della prova che, soprattutto per gli apicali, ha caratterizzato fino ad ora l’art. 6 della 231.
Inoltre, emerge che se gli adeguati assetti sono il “contenitore” generale con l’art. 2086 che costruisce l’architettura di governance, la 231 ne rappresenta una specificazione penal-preventiva. In altri termini: 2086 c.c. = organizzazione per governare impresa e rischio e 231/2001 = organizzazione per prevenire reati.
Così il modello 231 diventa una componente degli adeguati assetti e la mancanza di assetti può diventare prova della colpa organizzativa. Se la riforma valorizza la colpa organizzativa in senso puro, allora la violazione dell’art. 2086 può costituire indice oggettivo di inadeguatezza.
Si può rilevare che assenza di deleghe chiare, mancanza di controlli di secondo livello, assenza di reporting, flussi contabili opachi, indicano sintomi di violazione del 2086 e diventano indicatori di colpa organizzativa 231.
Ecco che gli amministratori si espongono su due piani dove un assetto inadeguato può generare una responsabilità dell’ente ex 231 e la responsabilità degli amministratori verso società, soci e creditori nonché, nei casi più gravi, anche profili penali personali (es. bancarotta, false comunicazioni sociali).
La tendenza sistematica sembra andare verso una fusione funzionale tra la corporate governance, il risk management, l’internal control e la compliance penale.
In prospettiva, il modello 231 non sarà più un allegato “difensivo”, ma il nucleo degli adeguati assetti ex 2086.
Il nodo tecnico è probabilmente il più delicato dell’intera evoluzione del D.lgs. 231/2001 e rileva nel passaggio dalla colpa di organizzazione alla responsabilità da rischio organizzativo, significa cambiare non solo il criterio di imputazione, ma la stessa ontologia dell’illecito dell’ente.
Nel modello attuale vige uno schema sostanzialmente tripartito:
- 1. Commissione di un reato-presupposto da parte di una persona fisica (art. 5 D.lgs. 231),
- 2. Interesse o vantaggio per l’ente e 3- deficit organizzativo causalmente rilevante con la “colpa di organizzazione” assimilabile a una colpa normativa dove l’ente risponde perché non ha predisposto un assetto idoneo a prevenire quel tipo di reato perciò è una colpa ex ante (valutazione prognostica), normativa (violazione di regole cautelari organizzative e teleologica (orientata alla prevenzione), con il reato della persona fisica che resta il fatto genetico necessario e l’ente non “commette” il reato: ne risponde per insufficienza preventiva (vedi pure art. 27 Costituzione sul principio di personalità), mentre nel modello emergente cambia e non è più: “c’è stato un reato perché l’organizzazione era inadeguata” ma: “l’organizzazione produceva un rischio illecito non governato”, tanto è che il fulcro non è più l’inadempimento di una regola cautelare, ma la gestione del rischio con la responsabilità che diventa fondata sulla identificazione dei processi sensibili, sulla valutazione dei rischi-reato, sulla accettazione, mitigazione o trasferimento del rischio e sul monitoraggio continuo.
A bene vedere sembra la stessa logica del enterprise risk management o della ESG governance nonché della crisis governance ex art. articolo 2086 Codice Civile.
Se il rischio diventa criterio di imputazione, il confine con la colpa si assottiglia. Sarà da verificare e ragionare sul pericolo che potrebbe nascere dalla colpa organizzativa alla colpevolezza d’ambiente dove non rispondi perché hai sbagliato ma perché operavi in un contesto intrinsecamente pericoloso.
In altri termini se il PM deve provare: quale rischio era prevedibile o quale presidio era esigibile o perché il presidio era insufficiente, allora il rischio organizzativo resta dentro il paradigma della colpa.
Mentre se basta provare: l’esistenza del reato e/o l’appartenenza del processo aziendale a un’area sensibile, allora la responsabilità scivola verso l’oggettività.
Questo è un punto cruciale e da attenzionare.
L’art. 2086 infine crea un ponte decisivo dato che gli adeguati assetti che non impongono l’eliminazione del rischio, ma una rilevazione, una misurazione, una tracciabilità; e una reazione sempre più conformi alla Uni PDR 167, portano a definire l’ente diligente non se elimina il rischio ma se dimostra di averlo governato secondo standard adeguati con la logica di governabilità del rischio e non assenza assoluta di rischio.
Se questa evoluzione si consolida, il modello 231 diventerà meno “penalistico” e più “regolatorio”. L’illecito dell’ente (società) assomiglierà sempre più a un failure of governance or failure of control or failure of risk oversight. In questa prospettiva la responsabilità non nasce dal reato in sé, ma dalla qualità dell’organizzazione che lo ha reso possibile.
Ed è qui che il vecchio societas delinquere non potest viene definitivamente superato: non perché la società delinque ma perché la società produce e governa (o non governa) rischi illeciti.
Le imprese si troveranno di fronte ad una evoluzione che produce un effetto molto forte: l’adeguato assetto diventa la misura della diligenza organizzativa, mentre il modello 231 diventa la misura della diligenza penal-preventiva.
Vedremo come arriverà a terra la revisione in atto da parte del ministero della Giustizia ma attenzione se basta dimostrare che l’ente era “esposto” a un rischio-reato elevato, si rischia di trasformare la 231 in una forma di responsabilità quasi oggettiva.

