Spedicato_Il d.lgs. 231/2001 dieci anni dopo
Upcoming SlideShare
Loading in...5
×
 

Spedicato_Il d.lgs. 231/2001 dieci anni dopo

on

  • 4,652 views

 

Statistics

Views

Total Views
4,652
Views on SlideShare
4,651
Embed Views
1

Actions

Likes
1
Downloads
94
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Spedicato_Il d.lgs. 231/2001 dieci anni dopo Spedicato_Il d.lgs. 231/2001 dieci anni dopo Presentation Transcript

  • IL D.LGS. 231/2001 DIECI ANNI DOPO Avv. Giorgio Spedicato
  • Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). CHI SONO Dottore di ricerca in Informatica giuridica e diritto dell’informatica. Managing Partner dello studio legale Monducci Perri Spedicato & Partners. Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione con sede a Milano,CHI È MPS& P Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.
  • INDICEOverview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPSLa giurisprudenza di questi dieci anniI side effects
  • IL SENSO DELL’EVOLUZIONE NORMATIVAPrima del D.Lgs. 231/2001Principio generale: societas delinquere non potest (art. 27 Cost.)Uniche ipotesi contemplate: artt. 196 (Obbligazione civile per le multe e leammende inflitte a persona dipendente) e 197 c.p. (Obbligazione civile dellepersone giuridiche per il pagamento delle multe e delle ammende)Con l’introduzione del D.Lgs. 231/2001Cambia totalmente la prospettiva del LegislatoreViene istitutita la responsabilità amministrativa dell’ente per reati posti in essereda amministratori, dirigenti e/o dipendenti nell’interesse o a vantaggio dell’entestesso
  • LA RATIO DELLA DISCIPLINA La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa” Si ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi delittuose
  • PERCHÈ GLI ENTI? Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti che non hanno saputo scongiurare, nella propria organizzazione, significative ipotesi di reato La responsabilità sorge per mancata o insufficiente dotazione ed attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di controllo sul corretto operato di chi opera, a diverso titolo, a contatto con l’ente
  • A CHI SI APPLICA IL D.LGS. 231/2001? I soggetti destinatari del provvedimento sono: gli enti forniti di personalità giuridica le società e le associazioni, anche prive di personalità giuridica… …ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
  • A CHI NON SI APPLICA IL D.LGS. 231/2001? Sono invece esclusi (al fine di evitare la sospensione di funzioni essenziali per la collettività): lo Stato gli enti pubblici territoriali gli altri enti pubblici non economici gli enti che svolgono funzioni di rilievo costituzionaleLa Corte di Cassazione (n. 28699/2010) ha ritenuto non esonerabile dalla responsabilità una struttura ospedaliera operante in forma di s.p.a. partecipata al 49% da capitale privato
  • LA NATURA DELLA RESPONSABILITÀ Secondo diversi commentatori, il Legislatore ha creato un tertium genus di responsabilità, che si colloca a metà tra la responsabilità penale e la responsabilità amministrativa. Vengono, infatti, coniugati i tratti essenziali del sistema penale con quelli del sistema amministrativo
  • EFFETTI Si introduce una responsabilità in sede penale dell’ente che si aggiunge a quella personale del soggetto agente Ciò ha effetti diretti sul patrimonio dell’ente e indiretti sugli interessi di tutti i soci
  • MITIGAZIONEL’effetto dirompente della norma è mitigato da tre elementi:I reati devono essere posti in essere da soggetti in posizione apicale oda dipendentiI reati che possono far sorgere questo tipo di responsabilità sonotassativamente individuati dal testo di legge (che se sono moltonumerosi e il catalogo viene aggiornato spesso);I reati devono essere commessi nell’interesse o a vantaggio dellasocietà o dell’ente.
  • I SOGGETTII soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possonoessere divisi in due categorie:Soggetti in posizione apicaleSoggetti in posizione subordinata
  • SOGGETTI IN POSIZIONE APICALE Per individuarli il Legislatore ha preferito utilizzare una formula basata su un criterio funzionale Rientrano in questa categoria tutti quei soggetti, collocati ai vertici dell’organizzazione dell’ente, che esprimono la volontà dello stesso nei rapporti esterni e nelle scelte di politica d’impresa attraverso un potere di gestione, controllo e vigilanza
  • ESEMPIRientrano sicuramente tra i soggetti posti in posizione apicale iseguenti:il legale rappresentante dell’entegli amministratorii direttori generali ex art. 2396 c.c.i membri di comitati esecutivie tutti i soggetti dotati di rappresentanza…
  • SOGGETTI IN POSIZIONE SUBORDINATA Non sono necessariamente solo i dipendenti dell’ente Anche in questo caso viene adottato un criterio funzionale solo che, in questo caso, non vengono considerati responsabili i soggetti che esercitano le funzioni di vigilanza e controllo bensì coloro che le subiscono
  • CONTROLLO DIRETTO Perchè sorga responsabilità commessa dai soggetti in posizione subordinata, è essenziale che questi operino sotto il diretto controllo del soggetto apicale Si rende quindi sempre necessaria un’analisi concreta dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti
  • I CONSULENTIL’approccio mediante un criterio funzionale consente di estendere laresponsabilità anche a quei soggetti non dipendenti dell’ente macomunque sottoposti a un potere di controllo da parte di un soggetto inposizione apicale, quali i consulenti
  • I REATI PRESUPPOSTO Lungo elenco di reati cc.dd. presupposto Possono tuttavia essere classificati per macrocategorie; Quelli che riguardano più specificamente il tema della sicurezza informatica e della tutela della proprietà intellettuale sono…
  • REATI CONTRO LA P.A. Art. 640-ter c.p. (Frode informatica in danno dello Stato o di altro ente pubblico)
  • DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI Art. 491-bis c.p. (Falsità in un documento informatico pubblico o avente efficacia probatoria) Art. 615-ter c.p. (Accesso abusivo ad un sistema informatico o telematico) Art. 615-quater c.p. (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici) Art. 615-quinquies c.p. (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) Art. 617-quater c.p. (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche) Art. 617-quinquies c.p. (Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche) Art. 635-bis c.p. (Danneggiamento di informazioni, dati e programmi informatici) Art. 635-ter c.p. (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità) Art. 635-quater c.p. (Danneggiamento di sistemi informatici o telematici) Art. 635-quinquies c.p. (Danneggiamento di sistemi informatici o telematici di pubblica utilità) Art. 640-quinquies c.p. (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica)
  • DELITTI CONTRO L’INDUSTRIA E IL COMMERCIO Art. 517-ter c.p. (Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale)
  • DELITTI CONTRO LA PERSONALITÀ INDIVIDUALE Art. 600-ter c.p. (Pornografia minorile) Art. 600-quater c.p. (Detenzione di materiale (pedo)pornografico)
  • DELITTI IN MATERIA DI DIRITTO D’AUTORE Art. 171, primo comma, lett. a-bis), e terzo comma, l. 633/1941 Art. 171-bis l. 633/1941 Art. 171-ter l. 633/1941 Art. 171-septies l. 633/1941 Art. 171-octies l. 633/1941
  • «NELL’INTERESSE O A VANTAGGIO»Perchè sorga questo tipo di responsabilità, è necessario che i reatiindividuati dalla norma siano commessi nell’interesse o a vantaggiodella società, a nulla rilevando, ad esempio, l’ipotesi che il reato vengacommesso a favore proprio o di terziInteresse: sufficiente che il reato presupposto sia finalizzatoall’ottenimento di una determinata utilità, anche se quest’ultima nonviene raggiuntaVantaggio: bisogna aver ottenuto un risultato quantomenoparzialmente soddisfacente, a nulla rilevando se tale risultato sia statopreventivato o sia inaspettato
  • DIFFERENZE L’interesse sussiste quando l’autore del reato pone in essere un comportamento finalizzato a far ottenere all’ente un lucro o comunque un obiettivo desiderabile, sebbene non immediatamente lucroso Il vantaggio è un termine più ampio e non presuppone il lucro ma può tradursi nell’acquisizione di una qualche utilità che consenta all’ente di acquisire una posizione di vantaggio
  • IMPORTANTE Bisogna sottolineare che il reato presupposto deve essere fatto nell’interesse o a vantaggio dell’ente, non rilevando ad esempio nel caso in cui un soggetto, agendo a favore proprio o di terzi, comunque crei una qualche situazione di vantaggio per l’ente Nel caso in cui, invece, vi sia una commistione tra interesse personale e aziendale, la responsabilità dell’ente non è esclusa nè ridotta
  • IL PARADOSSO DELLA PROVASarà quindi lo stesso dirigente o soggetto subordinato che, in sedeprocessuale, potrà scegliere se addossarsi l’intera colpa o se attribuirela responsabilità all’organizzazione aziendale facendola condannare exD.Lgs. 231/01
  • GRUPPI DI IMPRESEQualora una società controllante tragga un interesse o un vantaggio,anche mediato, dalla commissione di un reato previsto dal decreto daparte di una controllata, sarà sanzionabile per responsabilitàamministrativa anche la controllante(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
  • SANZIONILe sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:sanzione pecuniariasanzioni interdittiveconfiscapubblicazione della sentenza
  • SANZIONE PECUNIARIAÈ applicata per quote in un numero non inferiore a cento, nésuperiore a mille. Ad ogni quota può essere attribuito un valorecompreso tra un minimo di € 258,00 ad un massimo di € 1.549,00Pertanto, la sanzione pecuniaria sarà compresa tra Euro 25.800,00(Euro 258,00 x 100 quote) ed Euro 1.549.000,00 (Euro 1.549,00 x 1000quote) e sarà sempre dovuta allorché siano riscontrabili i presuppostisoggettivi ed oggettivi previsti dal D.Lgs. 231/2001.
  • DETERMINAZIONE DELLA SANZIONE PECUNIARIANel determinare l’ammontare effettivo della sanzione pecuniaria, ilgiudice dovrà tener conto dei seguenti criteri:gravità del fattogrado di responsabilità dell’enteattività svolta dall’ente per eliminare o attenuare le conseguenze delfatto e per prevenire la commissione di ulteriori illeciticondizioni economiche e patrimoniali dell’ente (allo scopo diassicurare l’effettività della sanzione, che potrebbe essere resa vanadalle maggiori capacità patrimoniali ed economiche dell’entemedesimo)
  • SANZIONI INTERDITTIVEA differenza delle sanzioni pecuniarie, le sanzioni interdittive sonoprincipalmente volte, per quanto possibile, all’eliminazione dellecondizioni oggettive e soggettive che hanno agevolato i fattoricriminogeniLe sanzioni interdittive sono particolarmente gravi per una societàcommerciale, perché in tali casi producono addirittura la paralisi delleattività o una loro drastica compressione, con pesanti ripercussionisull’esistenza stessa dell’ente
  • TIPI DI SANZIONI INTERDITTIVELe sanzioni interdittive sono:l’interdizione dall’esercizio dell’attivitàla sospensione o la revoca delle autorizzazioni, delle licenze o delleconcessioni funzionali alla commissione dell’illecitoil divieto di contrattare con la Pubblica Amministrazione, salvo cheper ottenere le prestazioni di un pubblico serviziol’esclusione da agevolazioni, finanziamenti, contributi o sussidi el’eventuale revoca di quelli già concessiil divieto di pubblicizzare beni o servizi
  • DETERMINAZIONE DELLE SANZIONI INTERDITTIVEFondamentale per il Giudice, nella scelta di quale sanzione interdittivaapplicare, è l’idoneità della sanzione ad impedire la commissione diulteriori reati della stessa specieCiò comporta, quindi, una concreta analisi, da parte del Giudice,dell’attività d’impresa e dei sistemi di controllo adottati
  • IN PARTICOLARE: L’INTERDIZIONEÈ la sanzione interdittiva più graveÈ applicata in via definitivaRichiede un profitto di rilevante entità ottenuto da un entecondannato almeno tre volte negli ultimi sette anni e che l’ente o unasua unità organizzativa abbiano prevalentemente lo scopo dicommettere reati.
  • LA CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo odel profitto del reatoQuando non sia possibile eseguire la confisca, questa potrà avere adoggetto anche somme di denaro, beni o altre utilità di valoreequivalente al profitto del reato
  • LA CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo odel profitto del reatoQuando non sia possibile eseguire la confisca, questa potrà avere adoggetto anche somme di denaro, beni o altre utilità di valoreequivalente al profitto del reato
  • LA NATURA DELLA RESPONSABILITÀIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaresponsabilità qualora i medesimi:si dotino ed abbiano efficacemente adottato specifici modelliorganizzativi e di gestione, idonei alla prevenzione di reati dellamedesima specie di quello commesso, di modo che il reato vengacommesso aggirando fraudolentemente i predetti modelli diorganizzazione e di gestione;si dotino di un organismo di vigilanza ad hoc, dotato di autonomipoteri di iniziativa e controllo, che abbia effettivamente esercitato lesue funzioni ed i suoi compiti durante il momento di commissione delreato.
  • I MODELLI ORGANIZZATIVIEssi devono espletare le seguenti funzioni:individuare le attività nell’ambito delle quali possono essere commessi i reatiprevedere protocolli in base ai quali programmare la programmazione el’attuazione delle decisioni relative ai reati da prevenireindividuare le modalità di gestione delle risorse finanziarie idonee adimpedire la commissione dei reatiprevedere obblighi di informazione verso l’organismo deputato a vigilare sulfunzionamento e l’osservanza dei modelli stessiintrodurre un sistema disciplinare tramite il quale sanzionare il mancatorispetto delle misure che sono indicate nel modello
  • COME REDIGERE IL MODELLO ORGANIZZATIVOLe linee guida di Confindustria suggeriscono di prevedere le seguentifasi per la definizione del “modello 231”:l’identificazione dei rischila predisposizione e/o l’implementazione di un sistema di controlloidoneo a prevenire il rischio di cui sopra attraverso l’adozione dispecifici protocolliIn una parola: analisi del rischio e policy, analogamente a quantooccorreva fare per il DPS
  • RISK ASSESSMENT: UN ESEMPIOIndividuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree dirischio sopra identificate e a progettare misure volte a contrastare i rischieventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività diindividuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta diintervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguitoal processo di controllo esaminato. Per rispondere a tale esigenza sipotrebbero adottare dei protocolli interni che, oltre a un sistema di sanzionicoerente e adeguato, contengano la disciplina delle procedure da seguirenell’esecuzione di determinate attività aziendali
  • LE COMPONENTI PIÙ RILEVANTI Redazione e sottoscrizione di un codice etico Formalizzazione del sistema organizzativo, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni Procedure manuali e/o informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese
  • LE COMPONENTI PIÙ RILEVANTI Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare Comunicazione al personale e sua formazione Previsione di un adeguato sistema sanzionatorio per la violazione delle norme del codice etico e delle procedure previste dal Modello Autonomia, indipendenza, professionalità e continuità d’azione dell’Organismo di Vigilanza
  • IL CODICE ETICO È il documento nel quale si racchiudono gli impegni e le responsabilità etiche nella conduzione degli affari e delle attività imprenditoriali La funzione principale consiste nell’uniformare i singoli comportamenti, così che il perseguimento degli interessi aziendali sia svolto in piena legalità
  • ALTRI ELEMENTIIl Codice etico deve mantenere e sviluppare il rapporto di fiducia congli stakeholderIl Codice etico deve evitare comportamenti non etici, quali ad esempiol’assunzione di atteggiamenti ostili verso la societàIl Codice etico deve esplicitare i valori cui tutti i soggetti presentinell’azienda devono adeguarsi
  • MODELLI ORGANIZZATIVI E D.P.S.L’art. 45 del decreto legge 9 febbraio 2012 n. 5 (pubblicato nel S.O.della Gazzetta Ufficiale del 9 febbraio 2012 e, quindi, entrato in vigorein data 10 febbraio 2012) ha abrogato le norme del d.lgs. 30 giugno2003 n. 196 (c.d. Codice Privacy) nella parte in cui imponevanol’adozione del Documento Programmatico sulla Sicurezza (e, quindi,l’art. 34, comma 1, lett. g).Da quanto sopra ne discende, pertanto, che a decorrere dall’anno2012 i titolari del trattamento che prima erano obbligati non sono piùtenuti ad aggiornare il Documento Programmatico sulla Sicurezza.
  • MODELLI ORGANIZZATIVI E D.P.S. Occorre tuttavia segnalare che detta abrogazione è contenuta in un decreto legge che, pertanto, dovrà essere convertito, entro 60 giorni (quindi entro il 9 aprile 2012), dal Parlamento In proposito deve evidenziarsi che già in passato, segnatamente sia nel maxi emendamento al decreto legge 138/2011, così come nel maxi emendamento al DDL della legge stabilità del 2012, il Governo aveva “tentato” di abrogare il DPS, senza tuttavia riuscirvi per via dei successivi interventi parlamentari. Dovrà pertanto valutarsi, solo in esito al passaggio parlamentare, se l’art. 45 sarà stato convertito nell’identica formulazione attualmente contenuta nel d.l. 5/12
  • MODELLI ORGANIZZATIVI E D.P.S. In ogni caso l’art. 45 del d.l. 5/2012 non è intervenuto sulle altre misure di sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui omissione, pertanto, continua ad essere sanzionata penalmente ed amministrativamente)
  • MODELLI ORGANIZZATIVI E D.P.S. Resta pertanto obbligo del titolare e del responsabile del trattamento, secondo le specifiche di cui all’Allegato B al Codice Privacy:  impostare un sistema di autenticazione informatica  adottare procedure di gestione delle credenziali di autenticazione  utilizzazione di un sistema di autorizzazione  aggiornare periodicamente l’individuazione dell’ambito el trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici  proteggere gli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici  adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
  • MODELLI ORGANIZZATIVI E D.P.S. Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, in futuro, i controlli disposti dal Garante per la protezione dei dati personali saranno svolti in modo più capillare, anche accedendo, come consentito dal Codice Privacy, al sistema informatico del titolare del trattamento. Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il Garante, così come, nel caso, l’Agenzia delle Entrate, potranno verificare l’effettiva adozione delle misure minime, sarà quella di disporre controlli diretti, anche mediante specifico accesso ai sistemi, ai sensi dell’art. 159 del Codice Privacy. Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla sicurezza informatica e alle policy presenti in azienda che rimangono tra gli ispettori e il sistema informatico, quindi, restano i modelli organizzativi ex D.Lgs. 231/01.
  • L’ORGANISMO DI VIGILANZA Le migliori applicazioni dei “modelli 231” hanno evidenziato come, per garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia necessaria la costituzione di un OdV Tale entità può essere sia monosoggettiva che plurisoggettiva I parametri di cui tener conto sono le dimensioni e la complessità dell’azienda Nelle piccole imprese, è consentito che l’OdV coincida con l’organo dirigente, anche se la best practice in materia di audit prescrive sempre di servirsi di consulenti esterni
  • REQUISITI DELL’ODV Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale) Autonomia (è svincolato dal potere gerarchico del management e dispone autonomamente le proprie attività) Professionalità (all’interno dell’OdV devono confluire diverse professionalità) Continuità nell’azione (l’OdV non deve essere soggetto a continui o repentini cambiamenti dei suoi componenti)
  • POSSONO SVOLGERE LE FUNZIONI DELL’ODV Il Comitato per il controllo interno L’organismo di internal auditing Eventuali organismi creati ad hoc
  • NON POSSONO SVOLGERE LE FUNZIONI DELL’ODVI seguenti soggetti non possono coincidere con l’OdV in quanto la loro attività deve essere soggetta alle verifiche dell’OdV stesso. Il Collegio dei Sindaci L’area HR L’area legale L’area di amministrazione e controllo di gestione Il responsabile per la prevenzione dagli infortuni
  • COSA FA L’ODV Vigila sulla corretta osservanza del modello da parte di tutti i soggetti tenuti a rispettarlo Valuta la concreta idoneità del modello a prevenire comportamenti illeciti Valuta la necessità di ricorrere ad un aggiornamento del modello Aggiorna, se necessario, il modello
  • COSA NON FA L’ODV Non è un meccanismo occulto di controllo dell’operato dei dipendenti Non è un “prefetto” del datore di lavoro Non può irrogare o suggerire sanzioni inerenti il corretto svolgimento della prestazione lavorativa
  • DIECI ANNI DI GIURISPRUDENZA L’applicazione del D.Lgs. 231/01 nei suoi primi dieci anni di vita ha conosciuto, oltre ad alcuni interventi normativi, anche un ampio dibattito giurisprudenziale che, probabilmente, ha conosciuto la sua eco più risonante nel caso Thyssenkrupp, laddove è stata comminata una sanzione ex art. 25 septies comma 1 D.Lgs. 231/01 (sanzione pecuniaria in misura pari a 1000 quote e sanzioni interdittive di cui all’art. 9 comma 1 per una durata non inferiore ai tre mesi e non superiore all’anno) Il maggior numero di sentenze in ambito 231/01 si colloca in Lombardia, in particolare a Milano, e in Piemonte, in particolare Torino Le sentenze finora emanate possono essere raggruppate secondo tre diversi aspetti:  Destinatari della norma  Condizioni di imputabilità  Esimente giustificata dalla stesura del modello di organizzazione e controllo
  • DESTINATARI DELLA NORMA Con la sentenza 15657/11 la Cassazione ha concluso che anche le imprese individuali, seppur non espressamente indicate nel D.Lgs. 231/01, debbano considerarsi soggette alla sua applicazione in quanto rientranti nel novero degli “enti forniti di personalità giuridica” o, quantomeno, ad essi assimilabili. Con la sentenza 234/10 la Cassazione fa il punto sull’esenzione, dall’applicazione del D.Lgs. 231/01, degli enti pubblici non economici, stabilendo che la natura pubblicistica di un ente è condizione necessaria ma non sufficiente per rientrare nella categoria degli esonerati, in quanto “deve necessariamente essere presente anche la condizione dell’assenza di svolgimento di attività economica». Non a caso, il Tribunale di Milano ha recentemente esteso l’applicazione della 231/01 anche nei confronti di una o.n.l.u.s. in quanto sprovvista di modello organizzativo.
  • CONDIZIONI DI IMPUTABILITÀ Il 3 gennaio 2011 il Tribunale di Milano, con un’importante sentenza, fa il punto sui criteri necessari affinché si possa configurare la responsabilità dell’ente Innanzitutto, in merito ai presupposti di imputabilità, viene ribadita la c.d. teoria dualistica, per cui l’“interesse” di cui all’art. 5 comma 1 deve riferirsi alla condotta delittuosa della persona fisica e agli effetti del reato, mentre il “vantaggio” può essere tratto dall’ente anche quando la persona fisica non abbia agito nel suo “interesse”. Questo spiega perché i due termini siano separati da una disgiunzione “o” In pratica, l’illecito delineato ex D.Lgs. 231/01 si basa sulla realizzazione di un reato individuato come reato presupposto da parte di un soggetto che abbia un rapporto qualificato ex art. 5 comma 1 lett. a) e b) nei confronti della persona giuridica e il reato sia commesso nell’interesse o a vantaggio della persona giuridica stessa. A questi elementi, si aggiungerà l’elemento soggettivo della colpa di organizzazione che varierà a seconda che il reato presupposto sia stato commesso da soggetto in posizione apicale o da soggetto sottoposto ad altrui vigilanza e direzione
  • INVERSIONE DELL’ONERE DELLA PROVA Sempre nella sentenza del Tribunale di Milano del 3 gennaio 2011, viene ribadita la incontrovertibilità della circostanza che sull’ente gravi l’onere di provare la propria assenza di coinvolgimento, per cui “la prova dell’adeguata organizzazione e vigilanza si atteggia a vera e propria causa di esonero rispetto ad una fattispecie di responsabilità già di per sé integrata”.
  • ESIMENTE PER LA CORRETTA ADOZIONE DI UN MODELLO ORGANIZZATIVO Il Tribunale di Milano, con sentenza pronunciata il 17 novembre 2009, assolve una società (Impregilo) dalla responsabilità ex 231/01 in quanto ritiene il modello organizzativo “adeguato” In questa sentenza viene ribadito il principio che l’efficacia del modello deve essere giudicata con valutazione ex ante e non ex post rispetto agli illeciti commessi dagli amministratori, pena la conversione della responsabilità 231/01 in una forma di responsabilità oggettiva (ovvero: se il fatto è accaduto, il modello non è idoneo) In pratica, bisogna valutare se il modello organizzativo, al momento della sua adozione, poteva considerarsi efficace per prevenire il reato
  • VALUTAZIONE DELL’IDONEITÀ DEL MODELLO Il Tribunale ha ritenuto idoneo il modello organizzativo sulla base dei seguenti parametri:  Erano state previste delle procedure interne che contemplavano la presenza di due o più soggetti per l’esecuzione delle attività considerate a rischio  Erano state previste delle procedure di monitoraggio e controllo che prevedevano anche la nomina di un soggetto responsabile dell’operazione  Erano stati previsti incontri formativi sulla normativa 231/01  Erano state previsti degli incontri fra il Collegio Sindacale e il Compliance Officer per verificare l’effettiva osservanza della normativa 231/01  Erano state previste delle procedure autorizzative specifiche per comunicati stampa, divulgazione di analisi e studi aventi ad oggetto strumenti finanziari
  • TREND APPLICATIVI NEL SETTORE INFORMATICO Al momento, la 231/01 viene contestata dai PM soprattutto in costanza di:  Delitti informatici  Violazioni di proprietà industriale
  • I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, iseguenti vantaggi:accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggettipubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs. 231/01incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppisocietari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità diottenere una migliore valutazione economicaincremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema ditutela del trattamento dei dati personaliprevenzione dei rischi economici connessi alla condanna penale del soggetto e/o alpagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanzaalle misure minime di sicurezza
  • I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231 prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie, interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior capacità di risposta in caso di ispezioni a norma del Codice Privacy miglioramento dell’efficienza interna dell’azienda miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi critici incremento del livello di percezione di “eticità” dell’ente veicolazione di immagine più solida, onesta, pulita, dell’ente presso tutti gli stakeholders dell’ente (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento dell’ente nel mercato possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi propri prestatori di lavoro
  • MA SOPRATTUTTO… Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza informatica e policy di utilizzo delle risorse informatiche presente in azienda Agevolano il raggiungimento di una visione olistica della sicurezza informatica Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso di certificazione
  • SUGGERIMENTI FINALI Dotarsi di un adeguato modello organizzativo anche qualora non si rientri tra i soggetti espressamente indicati dalla normativa, in quanto è sempre possibile un’estensione giurisprudenziale Prevedere procedure efficaci di verifica della corretta applicazione della normativa, soprattutto in merito all’attività di controllo che dovrà essere condotta dall’Organismo di Vigilanza Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in tema di sicurezza e trattamento dei dati
  • STUDIO LEGALE ASSOCIATOMILANOVia Larga, 620122 Milano GRAZIE DELL’ATTENZIONE!Tel. 02.89926248Email: milano.desk@mpslaw.itBOLOGNA Avv. Giorgio SpedicatoVia dell’Indipendenza, 3640121 BolognaTel. 051.7878043Email: bologna.desk@mpslaw.it email: giorgio.spedicato@mpslaw.itIMOLAVia Garibaldi, 4040026 Imola (Bo) Add me on LinkedIn: it.linkedin.com/in/giorgiospedicatoTel. 0542.30702Email: imola.desk@mpslaw.it Follow me on Twitter: GSpedicato
  • MONDUCCI PERRI SPEDICATO & PARTNERS www.mpslaw.it