Il D. Lgs. n. 231/2001, recante la disciplina in materia di “Responsabilità amministrativa degli enti dipendente da reato”, ha rappresentato quella che è stata definita una “rivoluzione copernicana”, sancendo per la prima volta il principio in base al quale le società possono delinquere e, conseguentemente, essere punite ad esito di un giudizio che presenta le caratteristiche e le guarentigie proprie del processo penale. In virtù di tale portata estremamente innovativa, il decreto in parola ha costituito, fin dalla sua introduzione, oggetto di interesse e di intervento sia da parte del legislatore – con una serie di novazioni legislative volte, perlopiù, ad ampliare il novero dei reati presupposto – sia da parte della giurisprudenza, chiamata a chiarirne il contenuto e la portata. Sulla scorta delle modifiche così introdotte, lo scorso luglio Confindustria ha aggiornato le Linee Guida – inizialmente redatte nell’anno 2002 e successivamente riviste nell’anno 2008 – al fine di fornire, alle imprese destinatarie del decreto, importanti indicazioni in ordine alla costruzione dei “MOG - modelli di organizzazione, gestione e controllo”.

Il ruolo cruciale dei MOG nel “sistema 231”, quale strumento idoneo a prevenire il rischio di reato e, conseguentemente, a consentire un esonero di responsabilità in capo alle imprese, permette di comprendere l’importanza delle Linee Guida, quale punto di riferimento per gli enti destinatari della disciplina de societate. In proposito, merita una particolare riflessione la parte riservata alle “piccole imprese”, in ordine alle quali il Gruppo di Lavoro ha proposto delle procedure semplificate in rapporto al profilo dimensionale.

La scelta di semplificare i MOG per le realtà aziendali ridotte è stata avvertita sin dalla prima fase di stesura delle Linee Guida, le quali – nonostante i numerosi, ed anche recenti, interventi in materia di PMI – sono, tuttavia, rimaste invariate sul punto. Il movente di tale scelta è da individuarsi all’interno della normativa di cui al D. Lgs. n. 231/2001, il quale, all’art. 6, comma 4, prevede - per le imprese di piccole dimensioni - la possibilità di affidare la vigilanza sul funzionamento e sull’osservanza dei modelli al medesimo organo dirigente, evitando l’istituzione di un organismo ad hoc. 

Nella costruzione del MOG, la prima fase consiste nell’individuazione dei rischi: è questa la cosiddetta “mappatura”, svolta mediante l’analisi delle attività che costituiscono l’oggetto sociale dell’ente e dei soggetti cui sono conferiti i relativi poteri gestori. La successiva fase di “VDR - verifica dei rischi” consiste nell’individuazione di eventuali zone a rischio di reato (cd. “attività sensibili”), da condursi facendo riferimento al catalogo dei reati presupposto di cui alla “parte speciale” del D. Lgs. n. 231/2001. Sulla scorta di questo processo viene elaborato il modello, composto da una serie di protocolli contenenti le concrete misure di prevenzione in ordine al rischio di reato proprio della specifica impresa. Il modello, per essere “efficacemente attuato” e “correttamente funzionante” come richiesto dalla normativa, dev’essere costantemente monitorato e, ove necessario, aggiornato.

Secondo la semplificazione proposta per le PMI nelle Linee Guida, tutte le attività suesposte potrebbero essere affidate ad un unico soggetto, l’organo dirigenziale, chiamato a curare l’adozione, l’attuazione ed il monitoraggio del modello. Il focus è posto, in particolare, sui reato-presupposto di “omicidio colposo e lesioni personali colpose, commessi con violazione delle norme di tutela della salute e sicurezza sul lavoro”, introdotti dal D. Lgs. n. 81/2008. 

In relazione alle predette fattispecie delittuose, le Linee Guida propongono un riparto di competenze semplificato in ragione del ridotto livello dimensionale. Segnatamente, nel caso di aziende industriali fino a 200 dipendenti, il “SPP – Servizio di Prevenzione e Protezione” può essere affidato ad un apparato organizzativo operante in outsourcing rispetto all’azienda ovvero alla sola unità produttiva interessata. Nel caso, invece, di aziende industriali fino a 30 dipendenti il SPP potrà essere affidato in via esclusiva all’organo dirigente, identificato con lo stesso datore di lavoro. 

In maniera analoga, l’attività di vigilanza può essere svolta dal datore di lavoro: tale soggetto è, pertanto, il centro di direzione di tutti gli adempimenti connessi alla prevenzione e sicurezza sul lavoro.

Un simile approccio appare criticabile non tanto per i contenuti, quanto piuttosto per la notevole limitazione del campo di indagine e, conseguentemente, per la ridotta utilità con riferimento alle piccole imprese chiamate a trarre indicazioni operative dalle Linee Guida. Come noto, il novero dei reati che danno luogo alla responsabilità dell’ente è particolarmente ampio ed in relazione ad esso le imprese – di piccole quanto di grandi dimensioni - sono chiamate ad adottare un modello idoneo a prevenirne il rischio. Ciò premesso non si comprende perché il gruppo di lavoro di Confindustria abbia preso in considerazione i soli reati in materia di sicurezza e salute del lavoro, quasi che fosse l’unica zona a rischio delle piccole e medie imprese. Si pensi ai reati contro la pubblica amministrazione, ai reati ambientali, ai delitti di criminalità informatica, agli episodi di corruttela: possono, forse, dirsi estranei alla realtà delle piccole e medie imprese? Il rischio che si profila per queste ultime, laddove si allineino acriticamente alle prescrizioni contenute nelle Linee Guida, è quello di adottare un modello incompleto – in quanto limitato alla prevenzione dei reati summenzionati – e, conseguentemente, inidoneo. Tenendo a mente la ratio fondante la disciplina della responsabilità amministrativa degli enti, il modello deve seguire non tanto (o, comunque, non solo) le indicazioni contenute nei documenti redatti dalle associazioni rappresentative, ma piuttosto ed in prima battuta le indicazioni di cui al D. Lgs. n. 231/2001. Ebbene, la normativa è chiara nel delineare le distinte funzioni da attribuire all’organo dirigente – cui spetta l’adozione e l’efficace attuazione del modello – ed all’organismo di vigilanza, competente in ordine al monitoraggio e alla costante verifica. Solo in via facoltativa e per gli enti di piccole dimensioni, è prevista l’attribuzione delle funzioni di vigilanza al medesimo organo dirigente; tale possibilità, tuttavia, potrà riconoscersi legittima, ai fini dell’esimente, solo laddove la specifica attività dell’impresa non risulti particolarmente sensibile al rischio di reato.

Come affermato di recente dalla Cassazione Penale nel celebre caso “Impregilo” (sent. n. 4677/2014), peraltro, l’affidamento delle funzioni di vigilanza al medesimo organo dirigente (evitando così l’istituzione di un organismo ad hoc) deve essere vagliata con particolare cautela. Appaiono chiari e perentori i toni dei giudici nell’affermare che: “L'approntamento di un modello...non basta ad esimere una società da responsabilità amministrativa, essendo anche necessaria la istituzione di una funzione di vigilanza sul funzionamento e sull'osservanza di modelli, attribuita a un organismo dotato di autonomi poteri di iniziativa e controllo(…) Ma perché iniziativa e, principalmente, controllo, siano effettivi e non meramente "cartolari", si deve presupporre la non subordinazione del controllante al controllato”.

Se questo è il rigore della disciplina e della giurisprudenza chiamata a farne corretta applicazione, appare chiaro che alcuna standardizzazione o semplificazione può ammettersi, nemmeno per le PMI: il rischio di reato non sempre è direttamente proporzionale alle dimensioni dell’impresa.