> BANCHE DATI DECRETO 231/01 E REATI > D.LGS. N. 231/2001 > Art. 6, D.Lgs. n. 231/2001

Testo normativo (v. Note legali)
Art. 6 - Soggetti in posizione apicale e modelli di organizzazione dell'ente 
 
1.  Se  il  reato  è  stato  commesso   dalle   persone   indicate
nell'articolo 5, comma 1, lettera a), l'ente non  risponde  se  prova che
a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di  gestione idonei a prevenire reati della specie di quello verificatosi; 
b) il compito di vigilare sul funzionamento  e  l'osservanza  dei
modelli di curare il  loro  aggiornamento  e'  stato  affidato  a  un
organismo dell'ente dotato di autonomi  poteri  di  iniziativa  e  di controllo; 
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione
d) non vi è stata omessa  o  insufficiente  vigilanza  da  parte
dell'organismo di cui alla lettera b). 
2. In relazione all'estensione dei poteri delegati e al rischio  di
commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze: 
a)  individuare  le  attività  nel  cui  ambito  possono  essere
commessi reati; 
b)  prevedere  specifici  protocolli  diretti  a  programmare  la
formazione e l'attuazione delle decisioni dell'ente in  relazione  ai reati da prevenire; 
c) individuare modalità di gestione  delle  risorse  finanziarie
idonee ad impedire la commissione dei reati; 
d)   prevedere   obblighi   di   informazione    nei    confronti
dell'organismo deputato a vigilare sul funzionamento  e  l'osservanza dei modelli; 
 e) introdurre un sistema  disciplinare  idoneo  a  sanzionare  il
mancato rispetto delle misure indicate nel modello. 
2-bis. I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e) (1).
2-ter. ABROGATO (1).
2-quater. ABROGATO (1).
3. I  modelli  di  organizzazione  e  di  gestione  possono  essere
adottati, garantendo le esigenze di cui al comma  2,  sulla  base  di codici di comportamento redatti  dalle  associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di  concerto con i Ministeri competenti,  può  formulare,  entro  trenta  giorni, osservazioni sulla idoneità dei modelli a prevenire i reati. 
4. Negli enti  di  piccole  dimensioni  i  compiti  indicati  nella
lettera  b),  del  comma  1,  possono  essere   svolti   direttamente dall'organo dirigente. 
4-bis.  Nelle  società  di  capitali  il  collegio  sindacale,  il
consiglio di sorveglianza  e  il  comitato  per  il  controllo  della gestione possono svolgere le funzioni dell'organismo di vigilanza  di cui al comma 1, lettera b).
5. E' comunque disposta la confisca  del  profitto  che  l'ente  ha tratto dal reato, anche nella forma per equivalente. 


(1) Sulla Gazzetta ufficiale n. 63 del 15.03.2023, è stato pubblicato il D.Lgs. 10 marzo 2023, n. 24, recante <<Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali>>.
Tale provvedimento (in vigore dal 30 marzo 2023) è intervenuto, tra l’altro, sulle norme del D.Lgs. n. 231/2001 che disciplinano le segnalazioni di violazioni del Modello (art. 6); in particolare, l’art. 24 del D.Lgs. n. 24/2023:
-       ha abrogato i commi 2-ter (<<L'adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni di cui al comma 2-bis può essere denunciata all'Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall'organizzazione sindacale indicata dal medesimo.>>) e 2-quater (<<Il licenziamento ritorsivo o discriminatorio del soggetto segnalante e' nullo. Sono altresi' nulli il mutamento di mansioni ai sensi dell'articolo 2103 del codice civile, nonche' qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. E' onere del datore di lavoro, in caso di controversie legate all'irrogazione di sanzioni disciplinari, o a demansionamenti, licenziamenti, trasferimenti, o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa.>>) del citato art. 6 (v. oltre);
-       ha sostituito il comma 2-bis della stessa disposizione come segue: <<I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)>>.
Il testo del comma 2-bis), prima di tale modifica, era il seguente: <<I modelli di cui alla lettera a) del comma 1 prevedono:
a) uno o piu' canali che consentano ai soggetti indicati nell'articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell'integrita' dell'ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell'ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell'identita' del segnalante nelle attivita' di gestione della segnalazione;
b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalita' informatiche, la riservatezza dell'identita' del segnalante;
c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonche' di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.>>

L'art. 24 del citato D.Lgs. n. 24/2023 dispone quanto segue: <<1. Le disposizioni di cui al presente decreto  hanno effetto a decorrere dal 15  luglio  2023. Alle segnalazioni o alle denunce all'autorità giudiziaria o contabile effettuate precedentemente alla data di entrata in vigore del  presente decreto, nonché a quelle effettuate fino al 14  luglio  2023, continuano  ad  applicarsi  le disposizioni di cui all'articolo 54-bis del  decreto  legislativo  n. 165 del 2001, all'articolo 6, commi  2-bis,  2-ter  e  2-quater,  del decreto legislativo n. 231 del 2001 e all'articolo 3 della  legge  n. 179 del 2017.
2. Per i soggetti  del  settore  privato  che  hanno  impiegato, nell'ultimo anno, una media di lavoratori subordinati, con  contratti di   lavoro   a   tempo   indeterminato   o   determinato,   fino   a duecentoquarantanove,  l'obbligo  di  istituzione   del   canale   di segnalazione interna ai sensi  del  presente  decreto  ha  effetto  a decorrere dal 17  dicembre  2023  e,  fino  ad  allora,  continua  ad applicarsi l'articolo 6, comma 2-bis, lettere a) e  b),  del  decreto legislativo n. 231 del 2001, nella  formulazione  vigente  fino  alla data di entrata in vigore del presente decreto.>>
Annotazioni - Rinvii
1. Nelle ipotesi di segnalazione o denuncia effettuate nelle forme e nei limiti di cui all'articolo 54-bis del decreto legislativo 30 marzo 2001, n. 165, e all'articolo 6 del decreto legislativo 8 giugno 2001, n. 231, come modificati dalla presente legge, il perseguimento dell'interesse all'integrita' delle amministrazioni, pubbliche e private, nonche' alla prevenzione e alla repressione delle malversazioni, costituisce giusta causa di rivelazione di notizie coperte dall'obbligo di segreto di cui agli articoli 326, 622 e 623 del codice penale e all'articolo 2105 del codice civile. 2. La disposizione di cui al comma 1 non si applica nel caso in cui l'obbligo di segreto professionale gravi su chi sia venuto a conoscenza della notizia in ragione di un rapporto di consulenza professionale o di assistenza con l'ente, l'impresa o la persona fisica interessata.
​3. Quando notizie e documenti che sono comunicati all'organo deputato a riceverli siano oggetto di segreto aziendale, professionale o d'ufficio, costituisce violazione del relativo obbligo di segreto la rivelazione con modalita' eccedenti rispetto alle finalita' dell'eliminazione dell'illecito e, in particolare, la rivelazione al di fuori del canale di comunicazione specificamente predisposto a tal fine. La presente legge, munita del sigillo dello Stato, sara' inserita nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarla e di farla osservare come legge dello Stato.
Presentazioni online
Vai al Portale "Trainingpills231.com"
Fogli di lavoro
Matrice delle principali attività e responsabilità inerenti il Modello 231.docx
File Size: 95 kb
File Type: docx
Download File
Formazione

Vai al Portale "Trainingpills231.com"
Training Pill 231
  • I flussi informativi verso l'Organismo di vigilanza
Giurisprudenza

Vai alle massime giurisprudenziali
Testo in vigore dal
15 luglio 2023
Aggiornamenti normativi
  • Decreto 26 giugno 2003, n. 201 (in G.U. 04.08.2003, n. 179), con l'art. 8, comma 1, ha disposto la modifica dell'art. 6, comma 3.
  • Legge 12 novembre 2011, n. 183 (in S.O. n. 234, relativo alla G.U. 14.11.2011, n. 265), con l'art. 14, comma 12, ha disposto l'introduzione del comma 4-bis all'art. 6.
  • Legge 30 novembre 2017, n. 179 (in G.U. 14.12.2017, n. 291), con l'art. 2, comma 1, ha disposto l'introduzione dei commi 2-bis, 2-ter e 2-quater all'art. 6.
  • D.Lgs. 10 marzo 2023, n. 24, recante <<Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali>> (in G.U. n. 63 del 15.03.2023).
Sommario: 1. Sintesi - 2. Efficacia esimente del sistema 231 - 3. ​In particolare - L'adozione del modello: obbligo o facoltà? - 4. Struttura e contenuti del Modello - 5. Modello 231 e Tax Control Framework ex D.Lgs. n. 128/2015 - 6. Modello 231 e adeguatezza degli assetti organizzativi, amministrativi e contabili - 7. Modello 231 e Modello ex art. 30, D.Lgs. n. 81/2008 - 8.  In particolare: i Destinatari del Modello - 9. In particolare: le attività sensibili e la ponderazione del rischio di commissione dei reati presupposto - 10. In particolare: i presidi di controllo, ossia i protocolli e le procedure - 11. In particolare: la matrice delle principali responsabilità (interne ed esterne) inerenti il Modello 231 - 12. In particolare: la formazione - 13. L'Organismo di Vigilanza: Requisiti - Composizione - Compiti - Poteri - 14. In particolare: profili penali della responsabilità dell'Organismo di Vigilanza - 15. In particolare: rapporti tra Organismo di Vigilanza e Collegio sindacale - 16. In particolare. l'Organismo di vigilanza e la normativa in materia di privacy - 17. Il sistema disciplinare - 18. La disciplina delle segnalazioni circostanziate di condotte illecite (whistleblowing) - 19. L'elusione fraudolenta del Modello - 20. Rating di legalità e Modello 231 - 21. Modelli 231 e DNF - 22. Linee guida di categoria per la costruzione del Modello 231 - 23. Giurisprudenza (rinvio)
1. Sintesi
L'art. 6 prevede i criteri d'imputazione soggettiva nel caso di commissione del reato da parte del soggetto apicale (v. art. 5).
In questo caso la norma prevede una inversione dell'onere probatorio: la responsabilità sussiste a meno che l'ente non fornisca una delle prove liberatorie previste dalle lettere a)-d) della disposizione in commento, vale a dire:
a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di  gestione idonei a prevenire reati della specie di quello verificatosi; 
b) il compito di vigilare sul funzionamento  e  l'osservanza  dei modelli di curare il  loro  aggiornamento  e'  stato  affidato  a  un
organismo dell'ente dotato di autonomi  poteri  di  iniziativa  e  di controllo; 
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione
d) non vi è stata omessa  o  insufficiente  vigilanza  da  parte dell'organismo di cui alla lettera b). 
​La Legge n. 179/2017 - in vigore dal 29.12.2017 - ha inserito in tale disposizioni la disciplina delle "segnalazioni circostanziate di condotte illecite"; al riguardo si rinvia anche all'art. 3 della stessa Legge (v. sopra "Annotazioni - Rinvii" - v. sotto para. 12).

Con la sentenza n. 54640, depositata il 6 dicembre 2018, la Corte di Cassazione ha affermato che Il rischio di condotte corruttive è presente nelle società che operano a contatto con la Pubblica amministrazione e, quindi, nel caso di commissione di un "reato presupposto" l'ente risponde per il mancato dovere di vigilanza sull'operato del responsabile del centro operativo che tratta con la Pa, ai sensi del Decreto legislativo n. 231 del 2001. a. La responsabilità dell'ente non viene meno, poi, in caso di estinzione del reato per una causa diversa dall'amnistia. 


Con la sentenza n. 3314 del 25.05.2023, il Tribunale di Milano, Sez. X pen. (sentenza emessa nei confronti della società Johnson & Johnson Medical) ha fornito indicazioni in merito a un caso di attribuzione della responsabilità amministrativa dell'ente ai sensi dell'art. 7, D.Lgs. n. 231/2001, per reati commessi da "sottoposti". I fatti oggetto del provvedimento sono relativi, infatti, a una sentenza di condanna, per corruzione, di due dipendenti della società e di uno specialista in ortopedia, direttore della Divisione di ortopedia e traumatologia di un ospedale pubblico di Milano. Alla società è stato contestato all'ente l'adozione di un Modello di organizzazione, gestione e controllo inidoneo a prevenire il reato presupposto e, comunque, di non averne dato efficace attuazione.
Di seguito un breve resoconto dei principali punti trattati nella sentenza:
  • sussistenza del reato presupposto: il Tribunale ha ritenuto sussistenti tutti gli elementi costitutivi del reato oggetto del procedimento nei confronti dell'ente, accogliendo i medesimi elementi afferenti al procedimento penale svoltosi nei confronti degli autori del reato;
  • accertamento della "colpa di organizzazione" dell'ente: (i) "la culpa in vigilando, che integra l’elemento di connessione tra reato ed ente rispetto ai reati commessi dai non apicali, non passa, necessariamente, attraverso la condotta “colposa” di una persona fisica-controllore, ma è (e resta comunque) incardinata nella strutturale colpa di organizzazione, che è una forma di “colpevolezza impersonale”, propria della societas e direttamente riferita all’organizzazione collettiva, anche se innervata – come si è riscontrato anche in questo caso e come si ribadirà in appresso – di condotte inadeguate di individui sovraordinati ai sottoposti cui è ascritto il reato"; (ii) per escludere la colpevolezza dell'ente, gli obblighi di direzione e vigilanza (in capo ai "soggetti apicali") devono essere adempiuti dall'ente attraverso una adeguata organizzazione preventiva; (iii) la mancanza del "Modello" non comporta, automaticamente, la sussistenza della responsabilità in capo all'ente, in quanto esso non è l'unico presidio di controllo per la prevenzione dei reati in azienda; (iv) i parametri di imputazione all'ente della responsabilità di cui all'art. 7, D.Lgs. n. 231/2001 seguono lo stesso schema di cui all'art. 6 del medesimo Decreto; (v) la valutazione deve essere, quindi operata mediante una "prognosi postuma": esame delle carenze organizzative; esame dell'efficacia e adeguatezza dei presidi di controllo; (vi) prova della "colpa organizzativa" deve essere fornita dalla Pubblica accusa (ciò, differentemente da quanto previsto dall'art. 6, D.Lgs. n. 231/2001, per i reati commessi dai "soggetti apicali";
  • flussi informativi: rappresentano uno strumento idoneo ad assicurare l'efficacia del modello, attraverso la scoperta e la pronta eliminazione delle situazioni di rischio;
  • sistema disciplinare: è un presupposto essenziale per il giudizio di efficace attuazione del Modello; nel caso esaminato, è stata ravvisata una sistematica disapplicazione del sistema disciplinare, anche considerato che le sanzioni non devono essere applicate solo al "soggetto sottoposto", ma anche ai soggetti che hanno violato i propri doveri di direzione e di vigilanza;
  • condotte riparatorie ex art. 17, D.Lgs. n. 231/2001 (per evitare le sanzioni interdittive): risarcimento delle parti civili costituite nel procedimento contro le persone fisiche; messa a disposizione, da parte dell'ente, del profitto del reato, per la confisca, ed eliminazione delle carenze organizzative che hanno determinato il reato, attraverso l'adozione e l'attuazione di un Modello idoneo. (a esempio, con nuova mappatura dei rischi e dei presidi di controllo e adozione di nuovi protocolli di comportamento);
  • attività dell'Organismo di Vigilanza per l'aggiornamento del Modello: particolarmente rilevanti, ai fini dell'esclusione della responsabilità dell'ente, sono le attività dell'OdV di (i) impulso rispetto all'aggiornamento del Modello, (ii) di diligente adempimento degli obblighi di controllo e di (iii) vigilanza sull'attuazione di un programma di formazione continua sulle misure organizzative adottate (non solo, quindi, un generico piano di formazione sul D.Lgs. n. 231/2001).

2. Efficacia esimente del sistema 231
Rinviando, per il concetto di "elusione fraudolenta" del Modello 231 al successivo punto 17, in merito all'efficacia esimente del sistema 231 si cita, per tutte, il decreto di archiviazione della Procura della Repubblica di Como n. 603/2019 RGNR del 29.01.2020 (vai alla Giurisprudenza).
Si riporta uno stralcio di questo provvedimento, per le parti in cui si richiamano le diverse pronunce giurisprudenziali in materia (l'enfasi è aggiunta):
<<... (omissis) ... l'ente non risponde dell'illecito amministrativo dipendente da reato se il modello organizzativo "prevedeva una specifica normativa interna finalizzata alla prevenzione dei diversi reati" e questa risulti elusa dai vertici aziendali (cfr. Tribunale Milano - Ufficio GIP, 17 novembre 2009).
Non solo, la società può essere dichiarata non punibile ai sensi dell'art. 6 d.lgs. n. 231/01 nei casi in cui "la violazione di una norma del modello è la conseguenza del mancato rispetto delle procedure interne, consacrate nel modello" (cfr. ancora Tribunale Milano - Ufficio GIP, 17 novembre 2009).
Ancor più chiaramente, "la condotta elusiva del modello organizzativo è da considerarsi fraudolenta ove sia stata diretta a ingannare ... gli altri soggetti deputati alla prevenzione degli illeciti presupposto in base ai dettami del compliance program adottato dall'ente" (cfr. Corte Appello Milano, Sez. II, 21 marzo 2012).
"La condotta ingannevole", precisa più di recente la Suprema Corte di cassazione, deve risultare "di aggiramento e non di semplice frontale violazione delle prescrizioni adottate" (cfr. Cass., Sez. V n. 4677 del 18 dicembre 2013).
Ed infatti, nel caso in esame non si è assistito alla violazione sic et simpliciter delle prescrizioni imposte nel modello.
Nella vicenda concreta, gli amministratori pro tempore hanno by-passato completamente i controlli e le procedure aziendali interne, effettuando plurimi incontri - in tempi e modalità del tutto ignoti agli organi societari - con l'intermediario dell'accordo corruttivo e facendo fronte ai pagamenti richiesti attingendo a proprie disponibilità finanziarie.
I presidi e controlli posti a fondamento dell'attività di monitoraggio ex d.lgs. n. 231/01 sono stati, nei fatti, aggirati e elusi dagli ex amministratori, i quali hanno commesso il reato ipotizzato in totale autonomia.
Nulla avrebbero potuto verificare gli organi societari - che peraltro avevano ben approfondito e valutato la situazione, ottenendo riscontri rassicuranti - e, pertanto, nulla può essere addebitato all'ente sotto il profilo della astrattamente rilevanti "mancato controllo". ... (omissis) ...>>

In merito alla necessità di una efficace vigilanza da parte dell'Organismo  ai fini dell'efficacia esimente del Modello 231, si è espresso il Tribunale di Milano, Sez. II, con sentenza n. 10748 del 15 ottobre 2020, depositata il 7 aprile 2021 (Pres. Tanga, Est. Saba - vicenda banca Monte dei Paschi di Siena - operazioni "Santorini" e "Alexandria" - per i reati di false comunicazioni sociali e aggiotaggio), rilevando che i componenti  dell'Organismo di vigilanza si sono <<limitati ad insignificanti prese d’atto, nella vorticosa spirale degli eventi ... che un più accorto esercizio delle funzioni di controllo avrebbe certamente scongiurato ... per cui non resta che rilevare l’omessa (o almeno insufficiente) vigilanza da parte dell’organismo che fonda la colpa di organizzazione di cui all’art. 6 d.lgs. n. 231 del 2001>>. 

In occasione dell'evento "Tefisco 2021", organizzato dal quotidiano IlSole-24 Ore, la Guardia di Finanza ha fornito una risposta in merito alle procedure adottate dalla polizia giudiziaria nell'ipotesi di inoltro alla Procura della Repubblica di una segnalazione di un reato rilevante ai fini della responsabilità dell'ente ai sensi del Decreto legislativo n. 231 del 2001 (nella specie: delitto di dichiarazione fraudolenta mediante utilizzo di fatture per operazioni inesistenti, ai sensi dell'art. 2, D.Lgs. n. 74/2000).
In particolare, rispondendo a uno specifico quesito il Corpo ha precisato, in sintesi, quanto segue:
  • unitamente all'inoltro della segnalazione di notizia di reato nei confronti delle persone ritenute responsabile del reato, la Guardia di Finanza procede a segnalare al Pubblico Ministero anche la posizione della società che ha beneficiato della "falsa fatturazione", rappresentando tutte le circostanze di fatto utili a delineare l'eventuale responsabilità dell'ente;
  • a quest'ultimo proposito, l'attenzione dei militari si rivolge a tutti gli elementi rilevanti: esistenza di un interesse o vantaggio in capo all'ente; adozione (o meno) del "Modello 231"idoneità del "Modello" a prevenire la commissione di reati della specie di quello presupposto, contestato alla persona fisica (ossia, nella specie, previsione di misure di controllo relativamente al ciclo passivo/approvvigionamenti delle forniture); atteggiamento psicologico che ha caratterizzato la condotta dell'agente, al fine di verificare eventuali fenomeni di "dissociazione" tra la volontà dell'ente e quello della persona fisica autrice del reato, con conseguente esonero di responsabilità dell'ente.

Con la sentenza n. 23401, depositata il 15 giugno 2022, la Corte di Cassazione ha fornito una sorta di "vademecum" sul Modello 231 e sull'Organismo di Vigilanza (v. "Giurisprudenza").

Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.

Il 22.04.2024 il Tribunale di Milano ha depositato la sentenza n. 1070, con la quale ha assolto una società imputata a titolo di responsabilità amministrativa degli enti (ai sensi del D.Lgs. n. 231/2001) per un reato dommesso dai vertici della società, emerso a seguito di una segnalazione anonima inviata alla società capogruppo estera. Il Tribunale ha ritenuto adeguato il modello di organizzazione, gestione e controllo della società italiana, benché fosse privo di una Parte speciale sui protocolli pre la prevenzione del rischio reato. 
3. In particolare - L'adozione del modello: obbligo o facoltà?
L'adozione del modello 231 non è resa obbligatoria dalla legge.
La dottrina ha, però, evidenziato che la costruzione ed efficace attuazione del modello deve essere posta in relazione alle seguenti disposizioni in tema di corporate governance:
  • art. 2381, comma 5, c.c.: <<Gli organi delegati curano che l'assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell'impresa e riferiscono al consiglio di amministrazione e al collegio sindacale, con la periodicità fissata dallo statuto e in ogni caso almeno ogni sei mesi, sul generale andamento della gestione e sulla sua prevedibile evoluzione nonché sulle operazioni di maggior rilievo, per le loro dimensioni o caratteristiche, effettuate dalla società e dalle sue controllate.>>;
  • art. 2392, c.c.: <<Gli amministratori devono adempiere i doveri ad essi imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell'incarico e dalle loro specifiche competenze. Essi sono solidalmente responsabili verso la società dei danni derivanti dall'inosservanza di tali doveri, a meno che si tratti di attribuzioni proprie del comitato esecutivo o di funzioni in concreto attribuite ad uno o più amministratori.
  • art. 2403, comma 1, c.c.: <<Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento.>>
La mancata adozione del modello 231 può, quindi, costituire una violazione dei doveri degli amministratori dell'ente.
Ed è proprio in relazione ai doveri di cui al citato art. 2392, c.c., che il Tribunale di Milano ha affermato la responsabilità civile dell'amministratore in caso di mancata adozione del modello organizzativo (Trib. Milano, sent. n. 1774/2008).

Più recentemente, con la sentenza n. 18842 del 24 gennaio 2019, la Corte di Cassazione, Sez. III, ha affermato il seguente principio:
  • <<la colpa di organizzazione [è fondata] sul rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo ... tali accorgimenti [devono]essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli>>.
4. Struttura e contenuti del Modello
Condizione esimente della responsabilità prevista del D.Lgs. n. 231/2001 è l’adozione ed efficace attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione dei reati-presupposto.

In via generale, il Modello di organizzazione, gestione e controllo di cui all’art. 6 del D.Lgs. 8 giugno 2001, n. 231 può essere inteso quale insieme di regole, procedure e strutture organizzative avente lo scopo di monitorare il conseguimento dei seguenti obiettivi:
(i)        strategici: salvaguardia del valore delle attività aziendali e del patrimonio sociale e protezione dalle perdite;
(ii)       operativi:  efficacia ed efficienza dei processi e operazioni aziendali (amministrativi, produttivi, distributivi, ecc.);
(iii)      compliance: rispetto di leggi e regolamenti nonché delle norme e delle procedure aziendali;
(iv)       reporting: qualità e affidabilità dell’informazione economica e finanziaria;
con specifico riferimento alla prevenzione dei reati-presupposto rilevanti ai sensi del Decreto.

​Nel documento Note e Studi n. 5/2019, "Prevenzione e governo del rischio di reato: la disciplina 231/2001 e le politiche di contrasto dell'illegalità nell'attività d'impresa" Assonime ha, puntualmente, sottolineato che:
  • "I pilastri del modello organizzativo ex disciplina 231 rientrano in modo sinergico nell’ambito del più ampio sistema di controllo interno, che viene adottato dalle società in conformità ai modelli di riferimento forniti dagli organismi internazionali. Al riguardo il più evoluto standard sulla gestione del rischio è rappresentato dal sistema ERM -Enterprise Risk Mangement Frameworkche si fonda su otto elementi essenziali che si integrano con gli elementi fondamentali del modello 231, dando luogo a un sistema di gestione dei rischi integrato."
Di seguito si riporta una tabella che riporta le indicazioni indicate del documento appena richiamato, relativamente agli elementi del "Sistema 231" corrispondenti agli otto componenti del Modello ERM:
COMPONENTE DEL MODELLO ERM
COMPONENTE DEL SISTEMA 231
Ambiente interno
Codice Etico - Modello 231
Definizione degli obiettivi
Diffusione del Modello 231
Identificazione degli eventi
Analisi aree a rischio 231
Valutazione dei rischi
Protocolli e procedure aziendali
Risposta al rischio
Controlli di linea, verifiche compliance, ecc.
Attività di controllo
Controlli di linea, verifiche compliance, ecc.
Informazione e comunicazione
Formazione - Flussi informativi
Monitoraggio
Vigilanza 231
In questo modo si dà luogo a un "sistema di gestione dei rischi integrato" (al riguardo si cita CDittmeier, "Il modello organizzativo e gestionale di Poste italiane", in La responsabilità amministrativa delle società e degli enti", 4, 2006.
Solitamente il Modello 231 è strutturato in due Parti:
  • una Parte generale, dedicata (i) alla normativa in materia di responsabilità amministrativa degli enti, (ii) all'organizzazione, (iii) al sistema di governance, (iv) al sistema di controllo interno e di gestione dei rischi, (v) alle finalità e ai destinatari del Modello, (vi) all'aggiornamento dinamico del Modello, (vii) alla formazione e formazione sui contenuti del Modello e del D.Lgs. n. 231/2001, (viii) all'Organismo di Vigilanza, (ix) ai flussi informativi verso l'Organismo e alle segnalazioni di violazioni del Modello e (x) al sistema sanzionatorio;
  • una Parte speciale, distinta in più Sezioni in relazione alle diverse categorie di reato e alle Direzioni/Funzioni aziendali.
In particolare, la Parte speciale del Modello si propone di:
  • individuare, previa descrizione delle fattispecie incriminatrici, le attività aziendali nel cui ambito potrebbero essere commessi reati rilevanti ai sensi del Decreto legislativo n. 231/2001 (mappatura delle attività a rischio);
  • evidenziare ai Destinatari del Modello quali comportamenti concreti potrebbero comportare l’applicazione, nei confronti dell'ente, delle sanzioni previste dal Decreto (modalità attuative dei reati-presupposto);
  • disciplinare i comportamenti richiesti ai destinatari del Modello, al fine specifico di prevenire la commissione di reati, anche mediante specificazione dei protocolli di comportamento (generale e speciali) e rinvio alle norme interne (policy, procedure aziendali e di Gruppo, istruzioni operative, ecc.);
  • indicare i principali flussi informativi verso l’Organismo di Vigilanza.

​Circa i contenuti del Modello, si riporta di seguito uno stralcio della sentenza della Corte di Cassazione, Sez. III, n. 18842 del 24 gennaio 2019:
  • «la colpa di organizzazione [è fondata] sul rimprovero derivante dall'inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo ... tali accorgimenti [devono] essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli>>.

In definitiva, obiettivo finale della Parte speciale del Modello è la costruzione di un insieme strutturato di ‘regole’ che non possa essere aggirato, se non fraudolentemente (concretandosi però, in tale evenienza, l’esimente da responsabilità di cui all’art. 6, comma 1, lett. c., D.Lgs. n. 231/2001).

Altra componente importante del Modello è il Codice etico e/o di comportamento.

I Modelli delle società a partecipazione pubblica, adottati ai sensi della Legge n. 190/2012 (oltre che del D.Lgs. n. 231/2001) includono, poi, il Piano triennale di prevenzione della corruzione.
Riguardo al contenuto del Modello 231, si riporta un estratto della sentenza 26 giugno 2007 del Tribunale di Napoli, Sez. civ. XXXIII (confermata dalla più recente, citata, sentenza n. 18842/2019 della Corte di Cassazione):
<<... Per quanto riguarda la struttura e il contenuto, il Modello ex D.Lgs. n. 231/2001 deve rappresentare l'esito di una corretta analisi del rischio e, pertanto, l'esito della corretta individuazione delle vulnerabilità oggettive dell'ente in rapporto alla sua organizzazione e attività. Una volta effettuata la cosiddetta mappatura del rischio, individuate cioè tutte le aree sensibili, deve stabilire per ognuna di esse degli specifici protocolli di prevenzione che regolamentino nel modo più stringente ed efficace possibile le attività pericolose, sottoponendo poi le regole a un'efficace e costante azione di controllo e presidiandole con altrettante e adeguate specifiche sanzioni per perseguirne le violazioni e per garantirne un'effettiva attuazione dell'intero sistema organizzativo così approntato, per rendere cioè il Modello non un mero strumento di facciata dotato di una valenza solo formale, ma uno strumento concreto e soprattutto dinamico idoneo a conformarsi costantemente con il mutamento della realtà operativa e organizzativa della persona giuridica. >>
Sempre in tema di contenuti del Modello di organizzazione e di gestione, merita un richiamo il cd. "Decalogo 231" risultante dall'ordinanza del G.I.P. (dott.ssa Secchi), Tribunale di Milano del 9 novembre 2004 (caso IVRI-Cogefi). Tale pronuncia, infatti, individua una serie di requisiti necessari perché il Modello possa rivestire i caratteri di concretezza ed efficacia che portano ad attribuirgli efficacia esimente della responsabilità amministrativa degli enti derivante da reato; i dieci requisiti sono i seguenti:
1. Esigenza di una mappatura dei rischi-reato specifica ed esaustiva;
2. Possesso di specifiche capacità professionali per i componenti dell'Organismo di vigilanza;
3. Previsione di cause di ineleggibilità/decadenza per i membri dell'Organismo;
4. Diversificazione dei moduli formativi per esponenti aziendali;
5. Pianificazione e feedback dei moduli formativi;
6. Definizione del sistema disciplinare interno riferito alle violazioni del Modello;
7. Revisione della mappatura dei rischi in presenza di particolari circostanze;
8. Previsione di controlli routinari e di sorpresa da parte dell'Organismo di vigilanza;
9. Obbligo di segnalazione all'Organismo di vigilanza di violazioni o malfunzionamenti;
10. Adozione di protocolli comportamentali e procedure specifiche e concrete. 
Più recentemente, con riferimento al noto caso "Impregilo", riformando la sentenza della Corte di Appello, la Sezione V della Corte di Cassazione ha affermato che (Cass. Sez. V, sent. 18 dicembre 2013 - dep. 30.01.2014 - n. 4677):
  • non è possibile affermare che nel momento in cui un reato rilevante ai sensi del D.Lgs. n. 231/2001 è commesso da una persona fisica debba riconoscersi automaticamente la responsabilità della persona giuridica;
  • i codici di comportamento redatti dalle associazioni rappresentative - anche ove ai sensi dell'art. 6, comma 3, D.Lgs. n. 231/2001, superino il vaglio del Ministero della Giustizia - non sono idonei a conferire ai Modelli 231 a essi ispirati <<il crisma dell'incensurabilità, quasi che il giudice fosse vincolato a una sorta di ipse dixit aziendale e/o ministeriale" ; la Corte d'Appello di Milano, in particolare, aveva apprezzato la tempestività nell'adozione del modello da parte dell'ente imputato, risalente ai mesi immediatamente successivi l'introduzione della disciplina in materia di responsabilità amministrativa dell'ente, e la sua piena conformità tanto ai criteri sanciti dall'art. 6 del Decreto 231 del 2001, quanto - e soprattutto - alle linee guida proposte da Confindustria e alle previsioni del codice di autodisciplina di Borsa italiana); sotto il profilo dell'efficacia del Modello appariva, inoltre, la costituzione di un apposito Organismo di vigilanza <<sganciato dalla direzione ed amministrazione della società>> e posto alle dirette dipendenze del presidente del consiglio di amministrazione: ufficio affidato ad un <<soggetto di provata esperienza e professionalità nello svolgimento dell'attività di vigilanz>> (nel caso in questione, l'incarico di OdV era stato conferito al responsabile dell'internal auditing, il quale ricopriva inoltre la carica di compliance officer; contestualmente, la funzione di internal auditing, originariamente riportante alla funzione direzione finanza, amministrazione e controllo della società e, quindi, ad una struttura gerarchicamente sottoposta all'amministratore delegato, era stata posta a diretto riporto del presidente.
L'ordinanza del G.I.P., Tribunale di Roma, del 4 aprile 2003 ha precisato che:
<<Quando il rischio si è concretizzato e manifestato in un'elevata probabilità di avvenuta commissione dell'illecito da parte della società, i modelli organizzativi predisposti dall'ente dovranno necessariamente risultare maggiormente incisivi in termini di efficacia dissuasiva e dovranno valutare in concreto le carenze dell'apparato organizzativo e operativo dell'ente che hanno favorito la perpetrazione dell'illecito>>.
La giurisprudenza di legittimità ha poi affermato che i "Modelli Qualità" - ossia i modelli aziendali conformi allo standard ISO UNI EN 9001 non possono essere ritenuti equivalenti ai modelli richiesti dal D.Lgs. n. 231/2001 (in tal senso si cita Cass., Sez. VI pen., sent. 13 settembre 2017 (ud. 22 giugno 2017), n. 41768).
In merito all'adeguatezza del "Sistema di prevenzione 231", quale parte del più generale "Sistema di controllo interno" aziendale, utili riferimenti possono trovarsi anche nel documento emanato dal Si richiama il documento emanato dal CNDCEC, "Norme di comportamento del Collegio sindacale delle società non quotate", datato 18.12.2020.
Tale "Sistema" è, infatti, necessario per assicurare (in capo alle imprese che operano in forma societaria o collettiva) l'esistenza e il concreto funzionamento di un adeguato "assetto organizzativo, amministrativo e contabile" "sistema di controllo interno" (aspetti sottoposti alla vigilanza del Collegio sindacale delle S.p.a. o del Sindaco unico delle S.r.l.), intendendosi (come precisato dalle "Norme di comportamento del Collegio sindacale di società non quotate", CNDCEC, 18 dicembre 2020):
  • per "assetto organizzativo": (i) l'organizzazione gerarchica; (ii) la redazione di un organigramma aziendale con chiara identificazione delle funzioni, dei compiti e delle linee di responsabilità; (iii) l'esercizio dell’attività decisionale e direttiva della società da parte dell’amministratore delegato nonché dei soggetti ai quali sono attribuiti i relativi poteri; (iv) l'esistenza di poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali in essere; (v) la sussistenza di procedure che assicurano l’efficienza e l’efficacia della gestione dei rischi e del sistema di controllo, nonché la completezza, la tempestività, l’attendibilità e l’efficacia dei flussi informativi anche con riferimento alle società controllate; (vi) l'esistenza di procedure che assicurino la presenza di personale con adeguata professionalità e competenza a svolgere le funzioni assegnate; (vii) la presenza di direttive e di procedure aziendali, loro aggiornamento periodico ed effettiva diffusione; (viii) la corrispondenza fra la struttura decisionale aziendale e le deleghe depositate presso il registro delle imprese; (ix) la presenza di piani strutturati di formazione del personale dipendente;
  • per "assetto amministrativo-contabile": "l’insieme delle direttive, delle procedure e delle prassi operative dirette a garantire la completezza, la correttezza e la tempestività di una informativa societaria attendibile, in accordo con i principi contabili adottati dall’impresa. Un sistema amministrativo-contabile risulta adeguato se permette: - la completa, tempestiva e attendibile rilevazione contabile e rappresentazione dei fatti di gestione; - la produzione di informazioni valide e utili per le scelte di gestione e per la salvaguardia del patrimonio aziendale; - la produzione di dati attendibili per la formazione del bilancio d’esercizio";
  • per "sistema di controllo interno": "l’insieme delle direttive, delle procedure e delle prassi operative adottate dall’impresa allo scopo di raggiungere, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, i seguenti obiettivi: - obiettivi strategici, volti ad assicurare la conformità delle scelte del management alle direttive ricevute e all’oggetto che la società si propone di conseguire, nonché a garantire la salvaguardia del patrimonio aziendale e a tutelare gli interessi degli stakeholders; - obiettivi operativi, volti a garantire l’efficacia e l’efficienza delle attività operative aziendali; - obiettivi di reporting, volti a garantire l’attendibilità e l’affidabilità dei dati; - obiettivi di conformità, volti a assicurare la conformità delle attività aziendali, alle leggi e ai regolamenti in vigore."

Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.

In occasione dell'evento "Telefisco 2023", la Guardia di Finanza ha fornito risposto ad alcuni quesiti riguardanti il D.Lgs. n. 231/2001, i reati tributari e la normativa antiriciclaggio; in particolare, su: (i) adeguatezza del modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001 (v. art. 6, Decreto cit.); (ii) responsabilità per reati tributari (v. art. 25-quinquiesdecies, Decreto, cit.); (iii) obblighi di collaborazione attiva in materia antiriciclaggio (v. art. 25-octies, Decreto, cit.).
Con riferimento alle verifiche di adeguatezza e idoneità dei Modelli 231, la GdF ha fornito una serie di chiarimenti in merito ai principali punti oggetto delle verifiche ispettive, vale a dire:
  • mappatura delle aree aziendali esposte al rischio-reato;
  • regolamentazione della formazione del personale;
  • attuazione delle decisioni dei vertici aziendali;
  • gestione delle risorse finanziarie;
  • costituzione effettiva di un organismo di vigilanza;
  • principio di separazione delle funzioni;
  • capacità dell'ente di documentare ogni operazione, in modo da consentire la ricostruzione a posteriori e l’individuazione dei soggetti che hanno effettuato e autorizzato la transazione;
  • adozione di un codice etico che formalizzi, per gli appartenenti all’ente, i principi aziendali, nel rispetto dei valori di legalità;
  • predisposizione di un apparato sanzionatorio disciplinare interno;
  • creazione di un sistema di tutela da atti di ritorsione e discriminazione nei confronti dei whistleblower
5. Modello 231 e Tax Control Framework ex D.Lgs. n. 128/2015
Con la circolare n. 216816/2020 del 1° settembre 2020, la Guardia di Finanza precisa quanto segue: 
<<Un altro rilevante effetto della disposizione normativa in rassegna risiede nella necessità per gli enti collettivi di aggiornare i modelli organizzativi, al fine di implementare efficaci sistemi di gestione del rischio fiscale.
Invero, non si tratta di una novità in senso assoluto posto che i reati tributari assumevano già nel decreto legislativo n. 231/2001 una rilevanza indiretta, quali fattispecie prodromiche alla realizzazione di alcuni reati inclusi nel perimetro applicativo del decreto, sicché i modelli organizzativi degli enti già dovevano prevedere cautele atte a prevenire la commissione degli illeciti fiscali che potevano essere strumentali alla consumazione dei reati-presupposto (ndr.: con una nota, la circolare menziona i seguenti illeciti: (i) frode fiscale come strumento per l'accantonamento di fondi extracontabili da utilizzare per la commissione dei reati di corruzione e falso in bilancio,; (ii) reato fiscale come reato-presupposto di condotte di riciclaggio o autoriciclaggio).
E' utile ricordare , inoltre, che l'accesso al regime dell'adempimento collaborativo di cui agli articoli 3 e seguenti del decreto legislativo 5 agosto 2015, n. 128 - volto a consentire ad alcune categorie di contribuenti una comune valutazione con l'Agenzia delle entrate delle situazioni suscettibili di generare rischi di natura tributaria - è subordinato alla condizione che, alla data di presentazione dell'istanza, l'interessato abbia adottato un efficace sistema di controllo del rischio fiscale inserito nel contesto del sistema di governo aziendale e di controllo interno.
Occorre precisare, tuttavia, che i requisiti del c.d. Tax Control Framework non sono perfettamente sovrapponibili a quelli dei modelli organizzativi previsti dal decreto legislativo n. 231/2001.
​Infatti, mentre il sistema di gestione del rischio previsto dalla disciplina dell'adempimento collaborativo deve essere idoneo a prevenire il "rischio di operare in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità dell'ordinamento tributario", nel paradigma della responsabilità amministrativa degli enti di cui si discute il rischio da prevenire è relativo ai soli reati in materia di imposte dirette e IVA espressamente richiamati dal nuovo articolo 25-quinquiesdecies del decreto legislativo n. 231/2001.
Inoltre, la disciplina della cooperative compliance richiede che il controllo sull'effettività dei presidi adottati per misurare e gestire il rischio fiscale sdia demandato ad una funzione aziendale interna mentre nel sistema della responsabilità degli enti il compito di vigilare sul funzionamento e sull'osservanza del modello nonché di curarne l'aggiornamento è affidato all'Organismo di Vigilanza, che è dotato di autonomi poteri di iniziativa e di controllo.
Infine, a differenza del modello organizzativo, il Tax Control Framework delineato dal decreto legislativo n. 128/2015 non richiede l'introduzione di un sistema disciplinare né le previsioni in tema di segnalazione e tutela dei whistleblower.
Ciononostante, non pare esservi dubbio che, quantomeno con riguardo alle aree comuni ai due sistemi, il positivo giudizio espresso dall'Agenzia delle Entrate ai fini dell'ammissione all'adempimento collaborativo possa costituire un utile elemento di valutazione dell'efficacia esimente del modello previsto dal decreto legislativo n. 231/2001, da rimettere alle autonome determinazioni della competente Autorità Giudiziaria.>>
6. Modello 231 e adeguatezza degli assetti organizzativi, amministrativi e contabili
Il D.Lgs.12.01.2019, n. 14, recante il Codice della crisi d'impresa e dell'insolvenza, ha significativamente modificato l'art. 2086, secondo comma, c.c., e previsto l'art. 3, che rende doverosa per ogni impresa l'istituzione di assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni dell'impresa, ovvero di misure idonee, in grado di rilevare tempestivamente lo stato di crisi.
Nel mese di luglio 2023 la Fondazione Nazionale dei Commercialisti ha pubblicato, sul proprio sito web, due "Documenti di ricerca" riferiti agli "Assetto organizzativi, amministrativi e contabili.
Con il primo (del 7 luglio 2023), la Fondazione opera <<una disamina aggiornata della normativa vigente relativa alla istituzione di assetti organizzativi, amministrativi e contabili per le imprese che operano in forma societaria o collettiva, nonché delle "misure" previste per gli imprenditori individuali.>>
​Il secondo documento propone una serie di checklist operative per la valutazione: (i) del modello di business; (ii) del modello gestionale; (iii) dell'adeguatezza degli assetti organizzativi; (iv) dell'adeguatezza degli assetti amministrativi; (v) dell'adeguatezza degli assetti contabili.
Le valutazioni sopra richiamate possono essere utili anche ai fini delle valutazioni riferite al Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001 (vai all'art. 6 del Decreto).
7. Modello 231 e Modello ex art. 30, D.Lgs. n. 81/2008
L'art. 30 ("Modelli di organizzazione e di gestione") dispone quanto segue:
<<1. Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l'adempimento di tutti gli obblighi giuridici relativi:
a) al rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici;
b) alle attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti;
c) alle attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza;
d) alle attività di sorveglianza sanitaria;
e) alle attività di informazione e formazione dei lavoratori;
f) alle attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori;
g) alla acquisizione di documentazioni e certificazioni obbligatorie di legge;
h) alle periodiche verifiche dell'applicazione e dell'efficacia delle procedure adottate.
2. Il modello organizzativo e gestionale di cui al comma 1 deve prevedere idonei sistemi di registrazione dell'avvenuta effettuazione delle attività di cui al comma 1.
3. Il modello organizzativo deve in ogni caso prevedere, per quanto richiesto dalla natura e dimensioni dell'organizzazione e dal tipo di attività svolta, un'articolazione di funzioni che assicuri le competenze tecniche e i poteri necessari per la verifica, valutazione, gestione e controllo del rischio, nonché un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
4. Il modello organizzativo deve altresì prevedere un idoneo sistema di controllo sull'attuazione del medesimo modello e sul mantenimento nel tempo delle condizioni di idoneità delle misure adottate. Il riesame e l'eventuale modifica del modello organizzativo devono essere adottati, quando siano scoperte violazioni significative delle norme relative alla prevenzione degli infortuni e all'igiene sul lavoro, ovvero in occasione di mutamenti nell'organizzazione e nell'attivita' in relazione al progresso scientifico e tecnologico.
5. In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti di cui al presente articolo per le parti corrispondenti. Agli stessi fini ulteriori modelli di organizzazione e gestione aziendale possono essere indicati dalla Commissione di cui all'articolo 6.
5-bis. La commissione consultiva permanente per la salute e sicurezza sul lavoro elabora procedure semplificate per la adozione e la efficace attuazione dei modelli di organizzazione e gestione della sicurezza nelle piccole e medie imprese. Tali procedure sono recepite con decreto del Ministero del lavoro, della salute e delle politiche sociali.
6. L'adozione del modello di organizzazione e di gestione di cui al presente articolo nelle imprese fino a 50 lavoratori rientra tra le attività finanziabili ai sensi dell'articolo 11.>>

L'INAIL ha pubblicato sul proprio sito web le “Linee di Indirizzo per il Monitoraggio e la Commissione dei Reati Relativi a Salute e Sicurezza sul Lavoro di cui al 25 Septies del d.lgs. 231/01”. Il documento - frutto dell’accordo di collaborazione stipulato con l’Istituto di studi sulla responsabilità amministrativa degli enti (Istituto ISR), l’ente di ricerca e sviluppo fondato nel 2005, nonché Partner di Capitalimprese - intende <<fornire alle imprese un supporto operativo funzionale per il monitoraggio dei requisiti del sistema di gestione aziendale in modo da avere efficacia esimente delle responsabilità amministrative degli Enti ai sensi dell’art 25 septies del d.lgs. 23/2001>>.
8. In particolare: i Destinatari del Modello
In linea generale, sono Destinatari del Modello tutti coloro che operano per il conseguimento dello scopo e degli obiettivi dell'ente.
​Soggetti destinatari dei principi di comportamento e delle previsioni del Modello (incluso il Codice etico) sono, dunque:
  • i soggetti apicali (v. art. 5, lett. a) D.Lgs. n. 231/2001);
  • i soggetti sottoposti (dipendenti, agenti e altri soggetti esterni all'organizzazione aziendale sottoposti alla direzione e vigilanza dei soggetti apicali - art. 5, lett. B) D.Lgs. n. 231/2001);
  • collaboratori esterni, business partners e altri soggetti che operano su mandato dell'ente (procuratori speciali, ecc.).

Per la matrice delle principali responsabilità inerenti il Modello 231 vai, sotto, al punto 7.
9. In particolare: le attività sensibili e la ponderazione del rischio di commissione dei reati presupposto
Si intendono “attività sensibili” le attività svolte dalla Società nel cui ambito sussiste il rischio di commissione dei reati-presupposto, ossia dei reati rilevanti ai sensi del D.Lgs. n. 231/2001; tali attività sensibili si distinguono in:
  1. attività “operative”, costituite dai processi aziendali nel cui ambito possono essere (direttamente) commessi i reati-presupposto (es.: “ispezioni degli organi di controllo”, per quanto si riferisce al reato di corruzione; “gestione dei contributi pubblici”, per quanto si riferisce al reato di malversazione; “rapporti infragruppo”, per quanto si riferisce al reato di riciclaggio);
  2. attività “strumentali”, costituite dai processi aziendali attraverso i quali possono essere creati, in astratto, i mezzi o le modalità per la commissione dei reati; in altri termini, i processi che favoriscono o si collegano, rendendoli possibili, a comportamenti (commissivi od omissivi) costituenti direttamente fattispecie di reato, quali:
  • tipicamente, le attività di gestione di strumenti di tipo finanziario (es.: “rimborsi spese ai dipendenti” e “sistema premiante del personale” per quanto si riferisce al reato di corruzione);
  • altre attività strumentali (es.: “rapporti infragruppo” per quanto si riferisce al reato di corruzione).

Il Modello 231 deve essere supportato da un'attenta mappatura delle attività a rischio di commissione dei reati (oltre che dei presidi di controllo: v. succ. para. 6; in senso conforme si cita la ripetuta sentenza della Corte di cassazione n. 18842/2019).

Particolarmente rilevante, poi, è la ponderazione del rischio di commissione dei reati (cd. "risk assessment 231").
Ciò in quanto una rilevante sottovalutazione del rischio specificamente collegato ai reati può condurre, da parte dell'autorità giudiziaria, a un giudizio di inadeguatezza del Modello; al riguardo si cita l'ordinanza 3 maggio 2018 (depositata il 29 maggio 2018) della Sezione XII pen. del Tribunale di Milano, nella quale si rileva che il modello (successivamente adottato) era viziato da una rilevante sottovalutazione del rischio specificamente collegato ai reati oggetto del procedimento, giacché si ometteva ogni ponderazione del rischio di autoriciclaggio e si definiva il rischio in ordine alla possibile commissione di reati di riciclaggio soltanto "modesto".
10. In particolare: i presidi di controllo, ossia i protocolli e le procedure 
La costruzione del Modello rende necessaria, innanzitutto, l’inventariazione (o mappatura) delle attività sensibili e la valutazione del relativo rischio di commissione dei reati, che tenga conto dei presidi di controllo in atto. A tale fase fa seguito la predisposizione dei protocolli, delle procedure e dei controlli.
I protocolli sono costituiti da linee di condotte primarie, solitamente costituiti da principi generali di comportamento inseriti nella Parte speciale del Modello. Essi vanno specificati e contestualizzati tramite “procedure”, ossia con la predisposizione di norme interne (denominate, a seconda dei diversi casi e tipologie di documenti: policy, procedure, istruzioni operative, moduli) che traducono i protocolli in regole comportamentali riferite alla specifica organizzazione, aventi lo scopo di standardizzare e orientare i processi in chiave di prevenzione (nel caso specifico, dei reati 231).
La fase di elaborazione e formalizzazione delle procedure è, spesso, la fase più delicata e, talvolta, lacunosa del processo di adozione di un efficace Modello 231; la maggior parte dei casi di giudicata inidoneità dei Modelli, da parte della magistratura in caso di procedimento penale a carico dell’ente, si riferisce, infatti, alla carenza/inadeguatezza delle procedure.

Con l'ordinanza n. 13266 del 28 maggio 2018, la Sezione lavoro della Corte di Cassazione ha affermato la legittimità di un licenziamento disciplinare adottato dal datore di lavoro a seguito di controlli “a ritroso” sul personal computer (navigazione Internet e posta elettronica) in dotazione di un dipendente che aveva utilizzato lo stesso, in maniera continuativa, per finalità extra lavorative.
Secondo la Suprema Corte, in questo modo il datore di lavoro non ha controllato l'adempimento delle prestazioni di lavoro, ma ha invece inteso tutelare un bene aziendale, del tutto estraneo al contratto di lavoro. La Corte ha poi precisato che tale esigenza di protezione degli interessi e dei beni aziendali deve, però, essere bilanciata con la tutela della riservatezza e della dignità del lavoratore; è perciò richiesta una informazione al dipendente del possibile controllo delle sue comunicazioni.

Con la sentenza n. 23401, depositata il 15 giugno 2022, la Corte di Cassazione ha fornito una sorta di "vademecum" sul Modello 231 e sull'Organismo di Vigilanza (v. "Giurisprudenza").

Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.
11. In particolare: la matrice delle principali responsabilità (interne ed esterne) inerenti il Modello 231
(Per scaricare la matrice - in formato Word - vai sopra alla voce "Fogli di lavoro")
TASKS PRINCIPALI
Consiglio di Amministrazione
Amministratore Delegato
Organismo di Vigilanza
Dirigenti
Dipendenti
​(sottoposti)
Terze parti (agenti, consulenti, ecc.)
Approvazione del Modello e del Codice etico
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Sottoscrizione per accettazione del Modello e del Codice etico
Clicca qui per modificare.
Clicca qui per modificare.
X
X
X
X
Nomina dei membri dell'Organismo di Vigilanza
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Accettazione della carica a membro dell'OdV
Clicca qui per modificare.
Clicca qui per modificare.
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Accettazione e attuazione delle regole e degli adempimenti previsti dal Modello e dal Codice etico nonché dalle policies e procedure aziendali
X
X
X
X
X
X
Comunicazione e diffusione del Modello
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
 Valutazione della modifica /adeguamento del Modello
X
X
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Realizzazione di nuove norme interne (policies, procedure, istruzioni operative) relative alle attività sensibili
Clicca qui per modificare.
X
Clicca qui per modificare.
X
Clicca qui per modificare.
Clicca qui per modificare.
Segnalazione di qualsiasi atto / attività che induca (anche potenzialmente) un possibile rischio di commissione di un reato presupposto
X
X
X
X
X
X
Gestione delle segnalazioni di violazioni del Modello
Clicca qui per modificare.
Clicca qui per modificare.
X
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
Mappatura delle attività sensibili
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
X
X
Clicca qui per modificare.
Risk assessment 231
X
X
Clicca qui per modificare.
X
Clicca qui per modificare.
Clicca qui per modificare.
Esecuzione dei controlli di 1^, 2^ e 3^ livello
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
X
X
Clicca qui per modificare.
Informazione e formazione continua sul Modello Organizzativo: pianificazione e svolgimento dei corsi
Clicca qui per modificare.
X
X
X
Clicca qui per modificare.
X
Informazione e formazione continua sul Modello Organizzativo: partecipazione (obbligatoria) ai corsi
Clicca qui per modificare.
Clicca qui per modificare.
Clicca qui per modificare.
X
X
X
Attuazione del sistema disciplinare (contestazioni – istruttorie – applicazione di sanzioni)
Clicca qui per modificare.
X
Clicca qui per modificare.
X
Clicca qui per modificare.
Clicca qui per modificare.
12. In particolare: la formazione
Massima del Tribunale Milano, 20.09.2004:
"Questo Giudice ritiene di dovere affermare la inadeguatezza del modello organizzativo (...). In ordine alla formazione - il cui compito è quello di assicurare una adeguata conoscenza, comprensione ed applicazione del modello da parte dei dipendenti e dei dirigenti - le <<precisazioni finali>> contenute nel modello sono assolutamente generiche: non si differenzia la formazione a seconda che la stessa si rivolga ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all'organo di vigilanza ed ai preposti al controllo interno; non si prevede il contenuto dei corsi, la loro frequenza, l'obbligatorietà della partecipazione ai programmi di formazione; non si prevedono controlli di frequenza e di qualità sul contenuto dei programmi di formazione."

Estratto delle Linee guida 231 di Confindustria

<<Comunicazione e formazione
Sono due importanti requisiti del modello ai fini del suo buon funzionamento e devono essere diversamente modulati in base ai destinatari: i dipendenti nella loro generalità, quelli che operano in specifiche aree di rischio/attività sensibili, i componenti degli organi sociali ecc.
Con riferimento alla comunicazione, essa deve riguardare ovviamente il codice etico, ma anche gli altri strumenti quali i poteri autorizzativi, le linee di dipendenza gerarchica, le procedure, i flussi di informazione e tutto quanto contribuisca a dare trasparenza nell’operare quotidiano. La comunicazione deve essere: capillare, efficace, autorevole (cioè emessa da un livello adeguato), chiara e dettagliata, periodicamente ripetuta. Inoltre, occorre consentire l’accesso e la consultazione della documentazione costituente il Modello anche attraverso l’intranet aziendale.
Accanto alla comunicazione, deve essere sviluppato un adeguato programma di formazione modulato in funzione dei livelli dei destinatari. Esso deve illustrare le ragioni di opportunità - oltre che giuridiche - che ispirano le regole e la loro portata concreta. In proposito, è opportuno prevedere il contenuto dei corsi di formazione, la loro periodicità, l’obbligatorietà della partecipazione ai corsi, i controlli di frequenza e di qualità sul contenuto dei programmi, l’aggiornamento sistematico dei contenuti degli eventi formativi in ragione dell’aggiornamento del Modello.
È importante che l’attività di formazione sul decreto 231 e sui contenuti dei modelli organizzativi adottati da ciascun ente sia promossa e supervisionata dall’Organismo di Vigilanza della società, che a seconda delle singole realtà potrà avvalersi del supporto operativo delle funzioni aziendali competenti o di consulenti esterni.
Inoltre, il modello dovrebbe prevedere le modalità di erogazione della formazione (sessioni in aula, e-learning). Particolare attenzione va prestata alle iniziative formative erogate in modalità e-learning, ampiamente diffuse nelle grandi organizzazioni e/o nelle realtà con dispersione del personale a livello territoriale.
Al riguardo, è necessario assicurare, sin dalla fase progettuale, adeguati test intermedi e finali di verifica del livello di apprendimento dei contenuti, nonché implementare un idoneo sistema di monitoraggio dell’effettiva fruizione della formazione da parte dei destinatari, corredato da opportuni interventi correttivi a fronte di comportamenti anomali. In ogni caso, è auspicabile che la formazione in e-learning sia accompagnata anche da attività più tradizionali (formazione in aula o “in presenza”), favorendo un mix equilibrato degli strumenti da costruire in ottica risk based, privilegiando per le attività più onerose (formazione in aula) i profili professionali maggiormente esposti alle aree di rischio individuate. 

13. L'Organismo di Vigilanza: Requisiti - Composizione - Compiti - Poteri
L’art. 6 del D.Lgs. n. 231/2001 prevede che l’ente possa essere esonerato dalla responsabilità conseguente alla commissione dei reati indicati se l’organo dirigente ha, fra l’altro “affidato il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo” (in seguito “OdV”).
L’affidamento di detti compiti all’OdV e, ovviamente, il corretto ed efficace svolgimento degli stessi sono, dunque, presupposti indispensabili per l’esonero dalla responsabilità, sia che il reato sia stato commesso dai soggetti “apicali” che dai soggetti “sottoposti”.
L’art. 7, comma 4, del Decreto ribadisce che l’efficace attuazione del Modello richiede, oltre all’istituzione di un sistema disciplinare, la verifica periodica del Modello, evidentemente da parte dell’OdV a ciò deputato.

La funzione di "Organismo di Vigilanza" può essere attribuito - tra l'altro - al Collegio sindacale, per espressa previsione di legge (comma 4-bis dell'articolo 6, D.Lgs. n. 231/2001 in commento). Al riguardo, il documento di Assonime "Note e Studi" n. 3/2021, del febbraio 2021, dal titolo "La Corporate Governance in Italia: autodisciplina, remunerazioni e comply-or-explain (anno 2020)", precisa quanto segue: "Soltanto 19 società (pari al 9% del totale) hanno optato per l'attribuzione all'organo di controllo delle funzioni di OdV. Il numero è sostanzialmente stabile nel tempo". Tale situazione si riferisce all'anno 2020. Al riguardo si rinvia: alle "Linee guida per l’organismo di vigilanza ex d.lgs. 231/2001 e per il coordinamento con la funzione di vigilanza del collegio sindacale" (IRDCEC, maggio 2013).; alla Norma 5.5 delle "Norme di comportamento del Collegio sindacale delle società non quotate" redatte dal CNDCEC (dicembre 2020).

I requisiti dell'Organismo di Vigilanza - ai sensi del D.Lgs. n. 231/2001 e sulla base delle indicazioni delle Linee guida 231 di categoria (in particolare: Confindustria) e della giurisprudenza - sono i seguenti:
  • autonomia e indipendenza;
  • professionalità;
  • continuità di azione.
In particolare:
AUTONOMIA E INDIPENDENZA
  • L'OdV non deve svolgere compiti operativi.
  • I membri interni non devono svolgere compiti operativi. Le Sezioni Unite della Corte di Cassazione, con la sentenza 24.04.2014, n.- 38343 (ThyssenKrupp), mettono in dubbio la sussistenza dell'autonomia dell'OdV, ai sensi dell'art. 6, comma 1, lett. b), per la sua errata composizione, nel caso in cui un membro svolga compiti operativi. La giurisprudenza si è espressa negativamente, in particolare, con riferimento al responsabile dell'area sicurezza sul lavoro, al dirigente del settore ecologia, sicurezza e ambiente e al dirigente responsabile della Qualità. E' ammessa l'attribuzione del ruolo di membro al responsabile dell'Internal audit. Secondo la Corte Suprema l'errata composizione dell'OdV comporterebbe, addirittura, l'automatica inefficacia del Modello, a prescindere da valutazioni in merito ai suoi contenuti e al suo concreto funzionamento.
  • I membri non devono avere condizionamenti di natura personale o economica.
  • Il Modello 231 deve prevedere cause di ineleggibilità e decadenza dal ruolo di membro dell'OdV. A tal proposito, non è stata ritenuta sufficiente una regolamentazione che preveda come causa di ineleggibilità o decadenza il passaggio in giudicato  di una sentenza per aver commesso un reato presupposto o una condanna definitiva a una pena che comporti l'interdizione, anche temporanea, dai pubblici uffici o dagli incarichi direttive delle persone giuridiche o delle imprese.
PROFESSIONALITA'
  • I membri devono possedere competenze in materia ispettiva e consulenziale, che consentano loro l'esecuzione di attività di campionamento statistico, analisi, valutazione e contenimento dei rischi nonché di elaborazione e valutazione di questionari.
  • Almeno un membro deve avere competenze giuridiche (relativamente agli ambiti di applicazione del D.Lgs. n. 231/2001).

CONTINUITA' DI AZIONE
  • Predisposizione di una struttura dedicata alla vigilanza sul Modello 231.
  • Pianificazione delle attività.
  • Verbalizzazione delle riunioni.
  • Esistenza di un budget a disposizione dell'OdV.
  • Eventuale istituzione di una "segreteria tecnica".
  • Coordinamento con gli OdV delle altre società appartenenti al Gruppo.
Nella prassi, il ruolo dell'OdV viene affidato a una struttura costituita ad hoc, con composizione monocratica o collegiale.
Per garantire la necessaria autonomia e indipendenza dell'Organismo (v. sopra), i membri interni non devono svolgere compiti operativi. Le Sezioni Unite della Corte di Cassazione, con la sentenza 24.04.2014, n.- 38343 (ThyssenKrupp), mettono in dubbio la sussistenza dell'autonomia dell'OdV, ai sensi dell'art. 6, comma 1, lett. b), per la sua errata composizione, nel caso in cui un membro svolga compiti operativi. La giurisprudenza si è espressa negativamente, in particolare, con riferimento al responsabile dell'area sicurezza sul lavoro, al dirigente del settore ecologia, sicurezza e ambiente e al dirigente responsabile della Qualità. E' ammessa l'attribuzione del ruolo di membro al responsabile dell'Internal audit. Secondo la Corte Suprema l'errata composizione dell'OdV comporterebbe, addirittura, l'automatica inefficacia del Modello, a prescindere da valutazioni in merito ai suoi contenuti e al suo concreto funzionamento.

I compiti attribuiti all'OdV sono i seguenti:
  • vigilanza sull’effettività del Modello, che si sostanzia nella verifica della coerenza tra i comportamenti concreti e il Modello istituito;
  • disamina in merito all’adeguatezza del Modello, ossia della sua reale (e non meramente formale) capacità di prevenire, in linea di massima, i comportamenti non voluti;
  • analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del Modello;
  • cura del necessario aggiornamento in senso dinamico del Modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti. Tale cura, di norma, si realizza in due momenti distinti ed integrati:
- presentazione di proposte di adeguamento del Modello verso gli organi/funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale;
follow-up, ossia verifica dell’attuazione e dell’effettiva funzionalità delle soluzioni proposte. 

L’OdV deve, poi:
  • promuovere e contribuire, in collegamento con le altre unità/funzioni aziendali interessate, all’aggiornamento e adeguamento continuo del Modello e del sistema di vigilanza sull’attuazione dello stesso;
  • assicurare i flussi informativi di competenza;
  • assicurare l’elaborazione del “Programma di vigilanza” (o Programma di audit), in coerenza con i principi contenuti nel Modello, nell’ambito dei vari settori di attività;
  • assicurare il coordinamento dell’attuazione del menzionato programma e l’attuazione degli interventi di controllo programmati e non programmati.
A tal fine, all’Organismo di Vigilanza sono altresì affidati i compiti di:
  • elaborare le risultanze delle attività effettuate e la relativa reportistica;
  • assicurare il mantenimento e l’aggiornamento del sistema di identificazione, mappatura e classificazione delle aree di rischio ai fini dell’attività di vigilanza;
  • promuovere e assicurare l’elaborazione di direttive per la struttura e i contenuti dei flussi informativi verso l’Organismo di Vigilanza;
  • segnalare alle funzioni competenti la notizia di violazione del Modello e monitorare, di concerto con la Direzione Generale e con la Direzione Risorse Umane, l’applicazione delle sanzioni disciplinari;
  • promuovere e monitorare le iniziative per la diffusione della conoscenza del Modello, nonché per la formazione del personale e la sensibilizzazione dello stesso all’osservanza dei principi contenuti nel Modello.
 
Con la sentenza n. 18413, depositata il 10 maggio 2022, la Corte di Cassazione ha precisato l'ambito di applicazione della responsabilità dell'ente per "colpa organizzativa" di cui all'art. 5, D.Lgs. n. 231/2001.
I principi stabiliti dalla Suprema Corte al riguardo sono i seguenti:
  • l’assenza di un modello organizzativo per la sicurezza sul lavoro (art. 30, D.Lgs. n. 81/2008, che rinvia al D.Lgs. n. 231/2001) non è sufficiente a far scattare la condanna dell'ente (nella specie, era stata contestata l'assenza di un Organismo di vigilanza avente il compito di verificare, con sistematicità e organicità, gli adempimenti in materia di salute e sicurezza sul lavoro ritenuti violati);
  • la colpa di organizzazione deve essere rigorosamente provata (dall'accusa), non potendo essere confusa con la colpevolezza della persona fisica a cui è addebitato l’illecito penale;
  • l'ente può dimostrare l'assenza di "colpa" anche in assenza del predetto "Modello" (es.: dimostrazione dei costi sostenuti per garantire la sicurezza dei lavoratori, dell'organizzazione efficiente del Sistema sicurezza, ecc.);
  • il ruolo attribuito dalla legge all'Organismo di vigilanza ex D.Lgs. n. 231/2001 non è quello di vigilare sui singoli adempimenti in materia di sicurezza sul lavoro (nella specie, la rispondenza delle macchine operatrici, acquistate e messe in linea, alle normative comunitarie in materia di sicurezza nonché l'adeguatezza dei sistemi di sicurezza installati sulle stesse), bensì quello di vigilare sul Modello ex artt. 6 e 7, D.Lgs. n. 231/2001 (e art. 30, D.Lgs. n. 81/2008).

Le attività poste in essere dall’Organismo non possono essere sindacate da alcun altro organismo o struttura aziendale, fermo restando però che l'organo amministrativo di vertice (es.: CdA) è in ogni caso chiamato a svolgere un’attività di vigilanza sull’adeguatezza del suo intervento, in quanto a tale organo dirigente rimonta, appunto, la responsabilità ultima del funzionamento (e dell’efficacia) del Modello.
 
Nello svolgimento dei compiti assegnati, l’Organismo di Vigilanza ha accesso senza limitazioni alle informazioni aziendali per le attività di indagine, analisi e controllo.
Nel caso in cui sia opposto un motivato diniego all’accesso agli atti, l’OdV redige, qualora non concordi con la motivazione opposta, un rapporto da trasmettere alla Direzione Generale e al Consiglio di Amministrazione, informando il Collegio sindacale.
In particolare, per l’esecuzione delle attività di propria competenza l’Organismo può procedere, in qualsiasi momento, a:
- atti di ispezione;
- atti di controllo;
- accesso ad atti aziendali, riservati e non;
- accesso ad informazioni o dati;
- accesso a procedure e protocolli operativi;
- accesso a dati contabili;
- accesso ad ogni altro dato, atto o informazione ritenuti utili.
 
E’ fatto obbligo di informazione in capo a qualunque Funzione aziendale, dipendente e/o componente degli organi sociali, a fronte di richieste da parte dell’Organismo di Vigilanza o al verificarsi di eventi o circostanze rilevanti ai fini nello svolgimento delle attività di competenza dell’Organismo di Vigilanza.

Per una illustrazione delle prassi relative all'Organismo di Vigilanza, si rinvia all'interessante documento: 
Con la sentenza n. 23401, depositata il 15 giugno 2022, la Corte di Cassazione ha fornito una sorta di "vademecum" sul Modello 231 e sull'Organismo di Vigilanza (v. "Giurisprudenza").

Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.
14. In particolare: profili penali della responsabilità dell'Organismo di Vigilanza
In merito ai profili penali di responsabilità dell'Organismo di Vigilanza, le Linee guida 231 di Confindustria, versione del marzo 2014, osservano quanto segue (pag. 70):
<<... l’obbligo di vigilanza non comporta di per sé l’obbligo di impedire l’azione illecita. Quest’ultimo obbligo, e la responsabilità penale che ne deriva ai sensi del citato articolo 40, comma 2, del codice penale, sussiste solo quando il destinatario è posto nella posizione di garante del bene giuridico protetto.
Dalla lettura complessiva delle disposizioni che disciplinano l’attività e gli obblighi dell’Organismo di vigilanza sembra evincersi che ad esso siano devoluti compiti di controllo in ordine non alla realizzazione dei reati ma al funzionamento e all’osservanza del Modello,  curandone, altresì, l’aggiornamento e l’eventuale adeguamento ove vi siano modificazioni degli assetti aziendali di riferimento.
Una diversa lettura, che attribuisse all’OdV compiti d’impedimento dei reati, mal si concilierebbe con la sostanziale assenza di poteri impeditivi, giacché l’Organismo di vigilanza non può neppure modificare di propria iniziativa i modelli esistenti e assolve,invece, a un compito consultivo dell’organo dirigente. Peraltro, l’obbligo d’impedire la realizzazione di reati equivarrebbe ad attribuire compiti e doveri simili a quelli che, nel nostro ordinamento, ha la polizia giudiziaria.
Infine, si sottolinea che, secondo l’opinione prevalente, l’obbligo di impedire la realizzazione dei reati non è previsto neanche in capo ai pubblici ufficiali e agli incaricati di pubblico servizio che, a differenza dell'Organismo di vigilanza, hanno il dovere di segnalare all'Autorità giudiziaria i reati di cui siano venuti a conoscenza nell'esercizio delle proprie attività. Tale situazione non muta con riferimento ai delitti colposi realizzati con violazione delle norme in materia di salute e sicurezza sul lavoro e di tutela dell’ambiente. Anche in questo caso l’Organismo di vigilanza non ha obblighi di controllo dell’attività, ma doveri di verifica della idoneità e sufficienza dei modelli organizzativi a prevenire i reati.>>
La Corte di Cassazione, Sez. I, sentenza 20.01.2016, n. 18168, ha escluso la responsabilità penale dell'OdV, affermando quanto segue:
<<Desta perplessità la configurazione di una responsabilità in capo ai componenti dell'Organismo di Vigilanza basata sul non aver loro portato a conoscenza del Consiglio di Amministrazione le asserite manchevolezze che avrebbero afflitto i cantieri navali: le perplessità sono causate da una inevitabile contraddizione nella quale la ricostruzione della vicenda sembra svilupparsi, poiché, se - seguendo appunto l'ipotesi di accusa - i citati membri dell'Organismo di Vigilanza nulla avevano riferito ai membri del Consiglio di Amministrazione, è ben difficile ipotizzare una responsabilità in capo a questi ultimi per non avere adottato le cautele che le situazioni di pericolo avrebbero richiesto. Parimenti, occorre prendere atto che il ricorso non precisa quali fossero la carenza e le manchevolezze che sarebbero state dolosamente ignorate dai membri dell'Organismo di Vigilanza; né, in particolare, il ricorso afferma che siffatte imprecisate manchevolezze avrebbero riguardato le ceste utili per la sollevazione dei tubi.>> 
15. In particolare: rapporti tra Organismo di Vigilanza e Collegio sindacale
Ai sensi dell'art. 6, comma  4-bis, D.Lgs. n. 231/2201, nelle  società  di  capitali  il  collegio  sindacale può svolgere le funzioni dell'organismo di vigilanza.
Tale disposizione ha ricevuto, da più parti, critiche in quanto i sindaci possono essere soggetti attivi di alcuni reati societari, con conseguenti limiti alle attività di vigilanza rivolte a tali fattispecie criminose.
Nella prassi, tra l'organismo di vigilanza e il collegio sindacale deve esserci collaborazione informativa; lo scambio di informazioni viene, in concreto, attuato con riunioni congiunte o con appositi flussi informativi.
Al riguardo merita ricordare il contenuto della sentenza della Corte di Appello di Milano del 23 aprile 2013 - richiamata nella sentenza della Corte di Cassazione, Sezione I civile, 29.03.2016, n. 6037 - con la quale si decideva la riduzione della sanzione amministrativa posta a carico dei sindaci di una società quotata a seguito di un procedimento attivato dalla Consob considerando risultando "infondata la contestazione relativa all'omessa vigilanza da parte dei sindaci sulle iniziative dell'Organismo di vigilanza".
In particolare, la Corte d'Appello affermava "l'esclusione dell'addebito relativo all'omesso controllo sull'attività dell'Organismo di vigilanza, in quanto organo dotato di autonomi poteri ispettivi rispetto al quale non si giustificava l'ulteriore vigilanza da parte del collegio sindacale"; di conseguenza, si decideva la riduzione dell'importo delle sanzioni.

Si richiama il documento emanato dal CNDCEC, "Norme di comportamento del Collegio sindacale delle società non quotate", datato 18.12.2020, di cui si riporta uno stralcio (l'enfasi è aggiunta):

"Norma 5.5. Rapporti con l'organismo di vigilanza
Principi
Ai fini dello svolgimento dell’attività di vigilanza, il Collegio sindacale acquisisce informazioni dall’organismo di vigilanza in merito alla funzione ad esso assegnata dalla legge al fine di vigilare sull’adeguatezza, sul funzionamento e sull’osservanza del modello adottato ex d.lgs. n. 231/2001.
Il Collegio sindacale verifica che il modello preveda termini e modalità dello scambio informativo dell’organismo di vigilanza a favore dell’organo amministrativo e dello stesso Collegio sindacale.
Riferimenti normativi
Artt. 2086 c.c., 2380-bis c.c., 2381 c.c., 2403 c.c., 2407 c.c., 2475 c.c.; d.lgs. 8 giugno 2001, n. 231
Criteri applicativi
In presenza dell’organismo di vigilanza (OdV) e nel caso in cui esso non sia composto in parte da sindaci ovvero non sia affidata al Collegio sindacale la relativa funzione, il Collegio acquisisce informazioni al fine di verificare gli aspetti inerenti all’autonomia richiesta dal legislatore per l’efficace esercizio delle funzioni assegnate all’organismo di vigilanza stesso. Ove applicabile, la verifica di tali aspetti si baserà sulle indicazioni presenti nei codici di comportamento redatti dalle associazioni rappresentative degli enti e ritenuti idonei dal Ministero della Giustizia a prevenire i reati, come richiamati dall’art. 6, co. 3, d.lgs. n. 231/2001.
Il Collegio sindacale acquisisce dall’organismo di vigilanza le informazioni relative al modello organizzativo adottato dalla società, al suo funzionamento ed alla sua efficace attuazione.
ll Collegio sindacale, nell’esercizio del dovere di vigilanza che gli compete e nel rispetto dell’indipendenza necessariamente riconosciuta all’OdV, può stabilire con quest’ultimo termini e modalità per lo scambio di informazioni rilevanti, concordando, eventualmente, un programma di incontri nel corso dell’anno, finalizzato a verificare l’esistenza delle condizioni previste dall’art. 6, comma 1, lett. d), del d.lgs. n. 231/2001.
Le informazioni acquisite, le richieste formulate e le relative risposte sono verbalizzate nel libro delle adunanze e delle deliberazioni del Collegio sindacale.
Il Collegio sindacale dovrà, quindi, verificare che nel modello organizzativo siano previsti appositi flussi informativi finalizzati a garantire l’informazione periodica sull’attività svolta dall’OdV, specie con riferimento all’attività di vigilanza circa l’adeguatezza del Modello, la sua efficace attuazione ed il suo aggiornamento, in particolare con riguardo all’inserimento dei nuovi reati presupposto presi in considerazione ed all’illustrazione delle procedure volte a presidiare le relative aree di rischio.
Alla luce di quanto sopra, nel caso in cui la società non abbia adottato il modello organizzativo, è necessario che il Collegio sindacale solleciti gli Amministratori ad un’adeguata riflessione in merito e, in assenza di valide ragioni, stimoli le necessarie attivazioni.
Qualora l’organo amministrativo non intenda dotare la società del modello organizzativo nonostante le sollecitazioni dell’organo di controllo e senza adeguate motivazioni, il Collegio sindacale può farne menzione nella relazione ex art. 2429 c.c., al fine di far constatare all’assemblea la propria attivazione in tal senso ed evitare, in ogni caso, qualsiasi possibile conseguenza, di cui all’art. 2407, co. 2, c.c.
Commento
Nelle società che abbiano adottato un modello organizzativo per la prevenzione dei reati ai sensi del d.lgs. n. 231/2001, l’OdV a tal fine istituito costituisce un importante interlocutore per il Collegio sindacale; ciò in quanto il modello organizzativo, soggetto alle attività di verifica di detto organismo, è parte del sistema di controllo interno di cui il Collegio sindacale valuta l’adeguatezza e il funzionamento.
Occorre inoltre considerare che, attesi l’aumento delle ipotesi di reato (anche di natura colposa) incluse tra i reati presupposto e la rilevanza delle sanzioni (pecuniarie e interdittive) previste per le singole violazioni, l’eventuale commissione di reati presupposto, con conseguente applicazione delle relative sanzioni, può avere effetti significativi sugli equilibri economico - finanziari della società e sulla stessa continuità aziendale. Pertanto, anche in relazione ai precisi obblighi introdotti dal nuovo art. 2086 c.c., la valutazione dell’adeguatezza di tali assetti non può prescindere da una verifica delle misure organizzative volte a monitorare il rischio di commissione di eventuali reati presupposto e a ridurre tale rischio entro margini accettabili.
Il Collegio sindacale verifica che gli amministratori abbiano valutato l’adozione del modello organizzativo e, ove nominato, l’operatività dell’OdV in conformità alle previsioni del modello, nonché l’autonomia e l’indipendenza del medesimo OdV necessarie per svolgere in modo efficace la funzione assegnatagli (determinata, fra l’altro, dalla severità del sistema sanzionatorio previsto dal d.lgs. n. 231/2001 che, con diverse misure, potrebbe finanche compromettere le prospettive di continuità aziendale).
Va rilevato che, ove applicabile, la verifica di tali aspetti si baserà sulle indicazioni presenti nei codici di comportamento redatti dalle associazioni rappresentative degli enti e ritenuti idonei a prevenire i reati dal Ministero della Giustizia, come richiamati dall’art. 6, co. 3, d.lgs. n. 231/2001. Nel caso in cui uno o più componenti dell’OdV siano stati scelti fra i sindaci della società, tale flusso informativo acquisisce, evidentemente, migliore diffusione e maggiore tempestività. ... (omissis) ..."
16. In particolare: Organismo di vigilanza e normativa sulla privacy
Con la newsletter n. 465 del 21.05.2020, il Garante privacy è intervenuto, tra l'altro sul tema del ruolo dell'Organismo di vigilanza dopo il GDPR, rendendo noto il "Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, d.lgs. 8 giugno 2001, n. 231".
Di seguito si riporta il contenuto della menzionata newsletter, per la parte d'interesse (l'enfasi è aggiunta):

<<Il Garante per la privacy ha precisato il ruolo e le responsabilità degli Organismi di Vigilanza (OdV) riguardo ai trattamenti dei dati personali svolti nelle loro funzioni e ha escluso che essi possano essere qualificati come titolari autonomi o come responsabili del trattamento.
Gli OdV sono gli organi ai quali l’ente, ossia la persona giuridica, la società o l’associazione affida, nel rispetto della disciplina sulla responsabilità amministrativa prevista dal decreto legislativo n. 231/2001, il compito di vigilare sull’osservanza dei modelli di organizzazione e di gestione adottati, allo scopo di prevenire i reati commessi nell’interesse o a vantaggio dell’ente, dai vertici dello stesso o da persone a questi sottoposti.
Nella risposta ad una richiesta di parere presentata da un’associazione rappresentativa dei componenti degli Organismi di Vigilanza, il Garante ha infatti chiarito che il Gdpr (Regolamento Ue 679/2016) si pone in linea di continuità con quanto già previsto dalla Direttiva europea sulla privacy del 1995 in relazione alla definizione del ruolo di titolare e responsabile del trattamento: il primo è il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo è colui che “tratta dati personali per conto del titolare del trattamento”.
Gli OdV, sia pur dotati di autonomi poteri di iniziativa e controllo previsti dalla normativa 231 per l’espletamento delle loro funzioni, non possono essere considerati autonomi titolari del trattamento perché i loro compiti non sono determinati dagli Organismi stessi, ma dall’organo dirigente dell’ente che, nell’ambito del modello di gestione e organizzazione, ne definisce gli aspetti relativi al funzionamento, compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza.
Inoltre, l’OdV non può essere considerato neppure quale responsabile del trattamento, inteso come persona giuridicamente distinta dal titolare che agisce per conto di quest’ultimo secondo le istruzioni impartite. Il Gdpr, infatti, pur non modificandone l’essenza, prevede ora, in funzione della gestione dei dati svolta per conto del titolare, un serie di obblighi in capo al responsabile del trattamento, come pure la sua diretta responsabilità per l’eventuale inosservanza degli stessi. Al contrario, eventuali omessi controlli sull’osservanza dei modelli predisposti dall’ente non ricadono sull’OdV ma sull’ente stesso.
L’OdV nel suo complesso non è quindi distinto dall’ente ma è “parte dell’ente” che, quale titolare del trattamento, definisce il perimetro e le modalità di esercizio dei compiti assegnati all’organismo, nonché il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono. In particolare, l’ente designerà i singoli membri dell’OdV come soggetti autorizzati, i quali dovranno attenersi alle istruzioni del titolare.>>

17. Il sistema disciplinare
a. Premessa
La costruzione del Modello 231 richiede la formalizzazione di un apposito sistema sanzionatorio per la violazione dei protocolli 231 previsti dal Modello, delle norme del Codice Etico nonché delle norme interne che disciplinano le attività sensibili (v.art. 6, comma secondo, lett. e), e dell’art. 7, comma quarto, lett. b) del D.Lgs. n. 231/2001).
 
Il sistema costituisce parte integrante del Modello e, ai sensi dell’art. 2106, c.c., integra, per quanto non previsto e limitatamente alle fattispecie qui contemplate, il Contratto collettivo nazionale di lavoro applicato al personale dipendente dell'ente, ferma restando l’applicazione dello stesso per le ipotesi ivi delineate.
 
b. Principi generali
 
A titolo meramente generale ed esemplificativo, costituisce “violazione” del Modello e delle relative procedure:
  • la messa in atto o l’omissione di azioni o comportamenti, non conformi alla legge e alle prescrizioni contenute nel Modello stesso e nelle procedure integranti il medesimo che comporti la commissione di uno dei reati previsti dal D.Lgs. n. 231/2001;
  • la messa in atto o l’omissione di azioni o comportamenti prescritti nel Modello e nelle relative procedure o richiesti dalla legge che espongano l'ente anche solo a una situazione di mero rischio di commissione di uno dei reati contemplati dal medesimo Decreto.
 
L’applicazione delle sanzioni disciplinari prescinde dall’esito di un eventuale procedimento penale, in quanto le regole di condotta imposte dal Modello e dalle relative procedure sono assunte dall'ente in piena autonomia e indipendentemente dalla tipologia di illeciti di cui al D.Lgs. n. 231/2001.
Più precisamente, la mancata osservanza delle norme e delle disposizioni contenute nel Modello e nelle relative procedure, ledono, infatti, di per sé sole, il rapporto di fiducia in essere con l'ente e comportano azioni di carattere sanzionatorio e disciplinare a prescindere dall’eventuale instaurazione o dall’esito di un giudizio penale, nei casi in cui la violazione costituisca reato. Ciò anche nel rispetto dei principi di tempestività e immediatezza della contestazione (anche di natura disciplinare) e della irrogazione delle sanzioni, in ottemperanza alle norme di legge vigenti in materia.
 
Come precisato dalle nuove Linee guida 231 di Confindustria (al para. 4):
<<Secondo il consolidato orientamento della Corte costituzionale (sent. n. 220 del 1995), l’esercizio del potere disciplinare deve sempre conformarsi ai principi di:
  • proporzione, commisurando la sanzione irrogata all’entità dell’atto contestato;; 

  • contraddittorio, assicurando il coinvolgimento del soggetto interessato: formulata la contestazione dell’addebito, tempestiva e specifica, occorre dargli la possibilità di addurre giustificazioni a difesa del suo comportamento.
Sebbene questi principi siano enunciati espressamente solo in relazione al lavoro subordinato (art. 2106 c.c.; art. 7 L. n. 300/1970, recante il cd. Statuto dei Lavoratori), la giurisprudenza costituzionale ne ha sancito l’applicabilità nello svolgimento di qualsiasi rapporto di lavoro, anche autonomo o professionale. È sufficiente, infatti, che si configuri in capo ad un soggetto il potere di incidere negativamente nella sfera giuridica di un altro soggetto responsabile di un comportamento negligente o colpevole.>> 

 
Il sistema disciplinare è, di norma, suddiviso a seconda della categoria di inquadramento dei destinatari ex art. 2095, c.c. nonché dell’eventuale natura autonoma o parasubordinata del rapporto che intercorre tra i destinatari stessi e l'ente ed è rivolto:
a) alle persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione della Società (cd. “Soggetti apicali”);
b) alle persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui sopra (c.d. “Soggetti sottoposti”);
c) a tutti gli altri Destinatari.
 
Nei singoli casi, il tipo e l’entità delle sanzioni specifiche sono applicate in proporzione alla gravità delle mancanze e, comunque, in base a criteri generali che devono essere precisati dal Modello; a titolo esemplificativo:
  1. elemento soggettivo della condotta (dolo o colpa, quest’ultima per imprudenza, negligenza o imperizia anche in considerazione della prevedibilità o meno dell’evento);
  2. rilevanza degli obblighi violati;
  3. gravità dei pericoli creati;
  4. entità del danno eventualmente creato all'ente dall’eventuale applicazione delle sanzioni previste dal D.Lgs. n. 231/2001 e successive modifiche e integrazioni;
  5. livello di responsabilità gerarchica e/o tecnica;
  6. presenza di circostanze aggravanti o attenuanti con particolare riguardo alle precedenti prestazioni lavorative, ai precedenti disciplinari nell’ultimo biennio;
  7. eventuale condivisione di responsabilità con altri lavoratori che abbiano concorso nel determinare la mancanza.
Deve poi essere regolata anche la recidiva.

Principi di tempestività e immediatezza richiedono l’irrogazione della sanzione disciplinare prescindendo dall’esito dell’eventuale giudizio penale.
 
 Il sistema disciplinare è distinto a seconda dei destinatari:
  • dirigenti;
  • altri lavoratori dipendenti;
  • membri dell'organo di vertice;
  • altri destinatari (agenti, business partners, fornitori, ecc.).

L’osservanza delle prescrizioni contenute nel Modello e delle norme del Codice etico costituiscono parte essenziale degli obblighi contrattuali dei dipendenti, ai sensi e per gli effetti dell’art. 2104 del codice civile.
Pertanto, la gravità del comportamento del lavoratore e l’idoneità a incidere, in maniera più o meno intensa, sul rapporto fiduciario instaurato con l'ente, costituiscono inadempimento delle obbligazioni primarie del rapporto di lavoro e, in altre parole, illecito disciplinare che, in conformità alle disposizioni del CCNL applicato nonché dell’art. 7 della Legge 30 maggio 1970, n. 300 (Statuto dei Lavoratori), possono essere sanzionati con l’interruzione immediata del rapporto di lavoro e comportare il risarcimento dei danni eventualmente derivati.
 
Il tipo e l’entità delle sanzioni da irrogarsi nel caso concreto, sono determinate sulla base del criterio di proporzionalità di cui all’art. 2106 del codice civile e, quindi, valutando:
-      l’intenzionalità del comportamento, anche se al solo fine di eludere le prescrizioni del Modello Organizzativo;
-      il grado di negligenza, imprudenza o imperizia;
-      la posizione funzionale e mansioni del lavoratore;
-      il comportamento complessivo del lavoratore e l’eventuale reiterazione della condotta da censurare;
-      altre particolari circostanze.
 
Le sanzioni irrogabili ai Lavoratori dipendenti rientrano tra quelle previste dal menzionato CCNL, nel rispetto delle procedure previste dal citato art. 7 della Legge  n. 300/1970 e da eventuali normative speciali applicabili.
In particolare, al principio di tipicità (sia delle sanzioni che delle violazioni si accompagna l’onere di dare un’adeguata pubblicità preventiva alle fattispecie punibili, mediante inclusione nel codice disciplinare e affissione del codice nelle bacheche.
La giurisprudenza prevalente considera insostituibile questa forma di pubblicità, con la sola eccezione delle violazioni che, per la loro gravità, fondano il proprio disvalore “non già nelle fonti collettive o nelle determinazioni dell’imprenditore, bensì nella coscienza sociale quale minimum etico” (così Cass., 13 settembre 2005, n. 18130) e che comunque portano alla sanzione del licenziamento per giusta causa, ai sensi dell’art. 2119 c.c. e non dell’art. 7 dello Statuto. Per quanto concerne le sanzioni conservative, resta indispensabile la previsione da parte del codice disciplinare e la relativa pubblicità.
 
In caso di violazione, da parte di Dirigenti, delle procedure previste dal Modello o di adozione, nell’espletamento di attività nelle aree a rischio, di un comportamento non conforme alle prescrizioni del Modello stesso, si provvede ad applicare nei confronti dei responsabili le misure più idonee in conformità a quanto previsto dal Contratto Collettivo Nazionale di Lavoro dei Dirigenti.
 
Gli Agenti, Procacciatori d’affari, Credit Collector, Consulenti, Collaboratori esterni o i Partner che pongano in essere comportamenti che costituiscano violazione del Modello e tali da comportare il rischio di commissione di un reato sanzionato dal Decreto, possono vedere il loro rapporto contrattuale risolto, salvo il risarcimento di eventuali danni, in applicazione di clausole contenute nel contratto o negli accordi di partnership.

Con l’ordinanza n. 138 del 7 gennaio 2019, la Corte di Cassazione ha stabilito che - al contrario che per le sanzioni disciplinari con effetto conservativo - l’elencazione delle ipotesi di giusta causa di licenziamento contenute nei contratti collettivi ha valenza meramente esemplificativa e non esclude, quindi, la sussistenza della giusta causa per grave inadempimento o per un grave comportamento del lavoratore alle norme di etica o del comune vivere civile.

Con la sentenza n. 3314 del 25.05.2023, il Tribunale di Milano, Sez. X pen. (sentenza emessa nei confronti della società Johnson & Johnson Medical) ha fornito indicazioni in merito a un caso di attribuzione della responsabilità amministrativa dell'ente ai sensi dell'art. 7, D.Lgs. n. 231/2001, per reati commessi da "sottoposti". I fatti oggetto del provvedimento sono relativi, infatti, a una sentenza di condanna, per corruzione, di due dipendenti della società e di uno specialista in ortopedia, direttore della Divisione di ortopedia e traumatologia di un ospedale pubblico di Milano. Alla società è stato contestato all'ente l'adozione di un Modello di organizzazione, gestione e controllo inidoneo a prevenire il reato presupposto e, comunque, di non averne dato efficace attuazione.
Di seguito un breve resoconto relativo al:
  • sistema disciplinare: è un presupposto essenziale per il giudizio di efficace attuazione del Modello; nel caso esaminato, è stata ravvisata una sistematica disapplicazione del sistema disciplinare, anche considerato che le sanzioni non devono essere applicate solo al "soggetto sottoposto", ma anche ai soggetti che hanno violato i propri doveri di direzione e di vigilanza.

Con la sentenza n. 3883 del 12.02.2024 la Corte di Cassazione, civ., si è pronunciata relativamente al rapporto tra le disposizioni del Codice disciplinare di cui al C.C.N.L. e il “Sistema Disciplinare” inserito nel Modello di organizzazione, gestione e controllo adottato da una società ai sensi del D.Lgs. n. 231/2001.
I giudici di appello, trascritte le disposizioni rilevanti del codice disciplinare di cui all’art. 36 del C.C.N.L. di Autostrade e Trafori (che sanziona con il licenziamento la “mancata applicazione volontaria delle disposizioni impartite dall’Azienda al fine di trarre vantaggio per sé o per l’Azienda stessa”) e del “Sistema disciplinare” inserito nel “Modello di Organizzazione, Gestione e Controllo ai sensi del d.lgs. 231 del 2001” adottato da Autostrade il 9 giugno 2016, hanno ritenuto che l’esercizio del potere disciplinare trovasse nel contratto collettivo la fonte primaria e nel Modello di Organizzazione la fonte secondaria.
Nella specie, il Modello 231 di Autostrade e Trafori attribuiva rilievo disciplinare alle condotte poste in essere in violazione del Modello medesimo, individuando ai fini sanzionatori un ordine crescente di gravità per i profili oggettivi che contempla:
“1. Violazioni del Modello che non hanno comportato esposizione a rischio o hanno comportato modesta esposizione a rischio;
2. Violazioni del Modello che hanno comportato una apprezzabile o significativa esposizione a rischio;
3. Violazioni del Modello che hanno integrato un fatto penalmente rilevante”.
In particolare, in  ordine "ai rapporti tra il codice disciplinare del contratto collettivo e il sistema disciplinare come parte integrante del Modello di organizzazione, gestione e controllo introdotto dal d.lgs. 231 del 2001", la Corte Suprema ha precisato quanto segue:
  • "14. Tale decreto legislativo ha introdotto nel nostro ordinamento un sistema sanzionatorio che contempla forme di responsabilità amministrativa degli enti per i reati commessi nel loro interesse o a loro vantaggio (art. 5) da soggetti in posizione apicale o da persone sottoposte alla altrui direzione o vigilanza.La responsabilità dell’ente è esclusa, tra l’altro, ove risultino adottati ed efficacemente attuati Modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi (art. 6, primo comma, lett. a). L’efficace adozione del Modello, e quindi la sua idoneità ad impedire la responsabilità dell’ente, è correlata alla introduzione di un sistema disciplinare volto a sanzionare il mancato rispetto delle misure indicate nel Modello medesimo (art. 6, secondo comma, lett. e), quindi, a garantire serietà ed effettività al sistema aziendale di prevenzione dei reati.
    15. Per quanto concerne i lavoratori subordinati, il sistema disciplinare per la violazione delle misure e delle procedure previste dal Modello deve essere armonizzato e coordinato con le disposizioni normative e contrattuali che regolano l’esercizio del potere disciplinare da parte del datore di lavoro, a cominciare dal principio di predeterminazione delle infrazioni e delle sanzioni, enunciato dall’art. 7 St. Lav., con il connesso onere di adeguata pubblicità preventiva delle condotte punibili, dal rispetto delle garanzie procedimentali e del canone di proporzionalità.
    16. Nel caso in esame, il Modello adottato da Autostrade ai sensi del d.lgs. 231 del 2001 (del 9.6.2016, ratione temporis applicabile) prevede, nell’ambito del Sistema disciplinare, le condotte rilevanti distinguendo al § 9.1. “1) violazioni del Modello che non hanno comportato esposizione a rischio o hanno comportato modesta esposizione a rischio; 2) violazioni del Modello che hanno comportato un’apprezzabile o significativa esposizione a rischio; 3) violazioni del Modello che hanno integrato un fatto penalmente rilevante”. Al § 9.3., dedicato alle “sanzioni nei confronti dei dipendenti”, stabilisce:
    “…stante il disposto del paragrafo 9.1 e ferme restando le previsioni di cui al CCNL e al relativo Codice Disciplinare: 1) per le violazioni di cui ai numeri 1 e 2 della sezione 9.1, potranno essere comminati i provvedimenti disciplinari conservativi (richiamo verbale, ammonizione scritta; multe e sospensioni13); 2) per le violazioni di cui al numero 3 della sezione 9.1, potranno essere comminati i provvedimenti disciplinari risolutivi (licenziamento per mancanze con preavviso e senza preavviso)”.
    17. In stretto coordinamento con tali previsioni contenute nel Sistema disciplinare del Modello, il codice disciplinare del contratto collettivo contempla le “violazioni del Modello di organizzazione, gestione e controllo (d.lgs. 231/2001) che hanno comportato una esposizione a rischio”, punibili con la sanzione conservativa della sospensione (art. 36 n. 8) e “le violazioni significative del Modello di organizzazione, gestione e controllo (d.lgs. 231/2001) che hanno anche integrato un’ipotesi penalmente rilevante”, punibili con il licenziamento senza preavviso (art. 36, lett. i).
    18. Nel caso di specie, la contestazione mossa al lavoratore non ha ad oggetto condotte integranti o, comunque, connesse a violazioni del Modello di organizzazione, come tali legate alla specifica mappatura dei rischi di reato e alle contromisure predisposte in base al d.lgs. 231 del 2001, non essendo sufficiente, a tal fine, la generica contestazione al dipendente di avere “creato disagi all’utenza e minato la sicurezza della circolazione”. L’addebito concerne unicamente la violazione degli obblighi imposti al dipendente dalle norme del codice civile, del contratto collettivo e del codice etico per avere agito “contravvenendo ai doveri lavorativi e in violazione dei principi di correttezza, lealtà e buona fede” (lettera di contestazione trascritta a pag. 4 della sentenza d’appello).
    19. Appaiono perciò infondati gli argomenti spesi da parte ricorrente e volti a sostenere la riconducibilità della condotta posta in essere alle citate previsioni del contratto collettivo formulate esclusivamente in termini di violazione del Modello di organizzazione.
    20. Né tale conclusione può dirsi inficiata dal rilievo che il Sistema disciplinare contenuto nel Modello di organizzazione al § 9.3., nota n. 4, nell’elencare, a titolo meramente esemplificativo, alcune condotte rilevanti di violazione del Modello ascrivibili al dipendente faccia riferimento al lavoratore che “non applichi volontariamente le disposizioni impartite dall’Azienda, al fine di trarre vantaggio per sé o per l’Azienda stessa”, usando una formula analoga a quella dell’art. 36, lett. i) del c.c.n.l., attesa la diversa portata e finalità delle due previsioni, benché sovrapponibili dal punto di vista letterale.
    Infatti, nell’ambito del sistema delineato dal d.lgs. 231 del 2001, quella previsione è volta a descrivere, attraverso un esempio, la “adozione, nell’espletamento delle attività a rischio, di un comportamento non conforme alle prescrizioni del Modello o violazione dei principi dello stesso” (v. § 9.3., nota n. 4) mentre nell’ambito del c.c.n.l. quella fattispecie comprende tutte le condotte non rientranti o non collegate alla prevenzione dei reati cui è finalizzato il Modello medesimo."

18. La disciplina delle segnalazioni circostanziate di condotte illecite
La disciplina delle disposizioni circostanziate di condotte illecite - di cui ai commi da 2-bis a 2-quater della norma in commento, è stata inserita dall'art. 2 della Legge 30.11.2017, n. 179, entrata in vigore il 29.12.2017.
Lo stesso provvedimento, all'art. 1, ha sostituito l'art. 54-bis (Tutela del dipendente pubblico che segnala illeciti) del D.Lgs. 30 marzo 2001, n. 165.
Al riguardo, per approfondimenti, si rinvia al documento della Fondazione Nazionale dei Commercialisti, "La disciplina del whistleblowing: indicazioni e spunti operativi per i professionisti", pubblicato il 12.02.2021.

In ordine alla distinzione tra "flusso informativo" e "segnalazione di illecito", con il documento  "L'Organismo di Vigilanza nella prassi delle imprese a vent'anni dal d.lgs. 231/2001 (Nota 10/2021)", Assonime ha precisato quanto segue: (l'enfasi è aggiunta):
  • <<Whistleblowing: informazione o segnalazione?
    Sul tema della disciplina whistleblowing appare utile distinguere i concetti di informazionee segnalazione. Le prime, infatti, comprendono le informazioni utili e necessarie allo svolgimento dei compiti di vigilanza affidati all’OdV. Le seconde, invece, si riferiscono a vere e proprie denunce attinenti la commissione di reati o comportamenti non in linea con quanto previsto dal modello, ovvero violazioni o sospetti di violazioni dei suoi principi generali. Queste ultime devono essere circostanziate e fondate su elementi di fatto, precisi e concordanti.
    Dall’indagine emerge che molte società ritengono di essere compliant alla disciplina whistleblowing per il solo fatto di aver istituito un canale apposito per dare notizia di eventuali violazioni del modello. I due ambiti andrebbero, invece, tenuti distinti posto che non tutte le segnalazioni che vengono effettuate all’OdV sono da considerare rilevanti ai fini del whistleblowing. Sarebbe, dunque, buona prassi prevedere un diverso trattamento e distinguere i canali di segnalazione. Si tratta, infine, di un aspetto che dovrebbe essere oggetto di specifica attività di formazione.>>

Nella Gazzetta Ufficiale, Serie Generale, n. 199 del 26.08.2022, è stata pubblicata la Legge 4 agosto 2022, n. 127, recante "Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti normativi dell'Unione europea - Legge di delegazione europea 2021" (entrata in vigore: 10.09.2022), Tra le Direttive UE menzionate nel provvedimento è inserita quella sul whistleblowing: Direttiva Ue 1937/2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione.
Questa nuova delega (la precedente, scaduta, risaliva ad aprile 2021) prevedeva l'emanazione del relativo Decreto entro tre mesi dalla data di entrata in vigore della citata Legge.

A tale delega si è data attuazione con il D.Lgs. n. 24/2023. In particolare, sulla Gazzetta ufficiale n. 63 del 15.03.2023, è stato pubblicato il D.Lgs. 10 marzo 2023, n. 24, recante <<Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali>>.
Tale provvedimento (in vigore dal 30 marzo 2023) è intervenuto, tra l’altro, sulle norme del D.Lgs. n. 231/2001 che disciplinano le segnalazioni di violazioni del Modello (art. 6); in particolare, l’art. 24 del D.Lgs. n. 24/2023:
-       ha abrogato i commi 2-ter e 2-quater del citato art. 6 (v. oltre);
-       ha sostituito il comma 2-bis della stessa disposizione come segue: <<I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)>>.
Il testo del comma 2-bis), prima di tale modifica, era il seguente: <<I modelli di cui alla lettera a) del comma 1 prevedono:
a) uno o piu' canali che consentano ai soggetti indicati nell'articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell'integrita' dell'ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell'ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione;
b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell'identità del segnalante;
c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonche' di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.>>

L'art. 24 del citato D.Lgs. n. 24/2023 dispone quanto segue: <<1. Le disposizioni di cui al presente decreto  hanno effetto a decorrere dal 15  luglio  2023. Alle segnalazioni o alle denunce all'autorità giudiziaria o contabile effettuate precedentemente alla data di entrata in vigore del  presente decreto, nonché a quelle effettuate fino al 14  luglio  2023, continuano  ad  applicarsi  le disposizioni di cui all'articolo 54-bis del  decreto  legislativo  n. 165 del 2001, all'articolo 6, commi  2-bis,  2-ter  e  2-quater,  del decreto legislativo n. 231 del 2001 e all'articolo 3 della  legge  n. 179 del 2017.
2. Per i soggetti  del  settore  privato  che  hanno  impiegato, nell'ultimo anno, una media di lavoratori subordinati, con  contratti di   lavoro   a   tempo   indeterminato   o   determinato,   fino   a duecentoquarantanove,  l'obbligo  di  istituzione   del   canale   di segnalazione interna ai sensi  del  presente  decreto  ha  effetto  a decorrere dal 17  dicembre  2023  e,  fino  ad  allora,  continua  ad applicarsi l'articolo 6, comma 2-bis, lettere a) e  b),  del  decreto legislativo n. 231 del 2001, nella  formulazione  vigente  fino  alla data di entrata in vigore del presente decreto.>>

Il Decreto legislativo n. 24/2023 disciplina, dunque, la protezione delle persone che segnalano violazioni di normative, sia di livello nazionale sia dell'Unione europea, che ledono l'interesse pubblico o l’integrità dell'amministrazione pubblica o dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.
L'art. 4 del provvedimento disciplina i canali di segnalazione interna, stabilendo che la gestione del canale di segnalazione può essere affidata a una persona o a un ufficio interno autonomo dedicato oppure a un soggetto esterno, anch'esso autonomo e con personale specificamente formato. Inoltre, le segnalazioni possono essere effettuate in forma scritta, anche con modalita' informatiche, oppure in forma orale, attraverso linee telefoniche o sistemi di messaggistica vocale ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.
L'art. 5, in materia di gestione del canale di segnalazione interna, stabiisce che la struttura che gestisce il canale di segnalazione interna, nel mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne o esterne, deve curare che le informazioni siano esposte e rese facilmente visibili nei luoghi di lavoro, nonche' accessibili alle persone che, pur non frequentando i luoghi di lavoro, intrattengono un rapporto giuridico in una delle forme di cui all'articolo 3, commi 3 o 4. Inoltre, è prevista la pubblicazioni sul proprio sito internet di dette informazioni anche in una sezione dedicata.
L'art. 12 prevede un preciso obbligo di riservatezza, statuendo che le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse (3 MESI) e l'identità della persona segnalante e qualsiasi altra informazione da cui puo' evincersi, direttamente o indirettamente, tale identita' non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.
Sotto il profilo "data protection", il comma 6 dell’art. 13 Trattamento dei dati personali , introduce l'obbligo, in capo ai soggetti di cui al precedente articolo 4, di individuare, nella definizione del proprio modello di ricevimento e gestione delle segnalazioni interne, misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell'articolo 28 del regolamento (UE) 2016/679 o dell'articolo 18 del decreto legislativo n. 51 del 2018.
L'art. 14, in tema di conservazione della documentazione inerente alle segnalazioni, stabilisce il termine massimo di conservazione della stessa in cinque anni a decorrere dalla data di comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui al precedente art. 12 e del principio di limitazione della conservazione di cui alla lettera e), paragrafo 1 dell'art. 5 del Regolamento UE 2016/679.
Il Capo III disciplina le misure di protezione: le condizioni per la protezione della persona segnalante, il divieto di ritorsione, le misure di sostegno a favore del segnalante, la protezione dalle ritorsioni, le limitazioni della responsabilita', le sanzioni, rinunce e transazioni.

Transparency International Italia ha pubblicato sul proprio sito web un "primo commento" della normativa whistleblowing introdotta dal D.Lgs. n. 24/2023.
Con questo documento, Transparency International Italia intende porre "l’attenzione sugli aspetti più rilevanti e su quelli a cui prestare maggiore cautela".
Tra le modifiche considerate "più rilevanti" sono stati richiamate:
  •  l’ampliamento degli ambiti soggettivi e oggettivi del whistleblowing: più ampio il perimetro dei segnalanti, sia internamente che esternamente nonché attraverso la “divulgazione pubblica”;
  • l'ampliamento del "perimetro delle segnalazioni nel settore privato, che era considerato marginalmente dalla legge n.179/2017 e che quindi era limitato agli enti dotati di Modello di Organizzazione Gestione e Controllo ai sensi del decreto legislativo n.231/2001";
  • "un significativo aumento dei soggetti che potranno segnalare, dagli ex dipendenti ai collaboratori o tirocinanti";
  • l'ampliamento dell'oggetto delle segnalazioni "ad un gran numero di condotte illecite";
  • "la centralità del ruolo dell’A.N.AC., che assume le vesti di autorità nazionale per il whistleblowing, con competenza anche nel settore privato";
  • "l’attenzione al tema della riservatezza, intesa come principio esteso a tutti i soggetti menzionati nella segnalazione (compresi i testimoni);"
  • "il raccordo con la protezione dei dati personali e la più ampia indicazione delle possibili condotte discriminatorie;
  • "la previsione della figura del facilitatore, di supporto ai segnalanti, garantita dalle organizzazioni della società civile".

Con la delibera n. 311 del 12.07.2023, l'A.N.AC. ha emanato le "Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell'Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne"; il provvedimento rileva anche ai fini delle procedure di segnalazioni di violazioni del Modello ex D.Lgs. n. 231/2001. Tale provvedimento precisa - con specifico riferimento al D.Lgs. n. 231/2001 - che nella categoria delle "Violazioni delle disposizioni normative nazionali" rientrano:
  • "i reati presupposto per l'applicazione del d.lgs. n. 231/2001;
  • le violazioni dei modelli di organizzazione e gestione previsti nel citato d.lgs. n. 231/2001, anch'esse non riconducibili alle violazioni del diritto dell'UE come sotto definite. Si precisa che tali violazioni non integrano fattispecie di reato presupposto per l'applicazione del d.lgs. n. 231/2001 e attengono ad aspetti organizzativi dell'ente che li adotta".
L'A.N.AC. ha anche precisato che:
  • i soggetti del settore privato devono istituire canali interni di segnalazione definendoli all'interno del Modello ex D.Lgs. n. 231/2001 o con atto organizzativo cui lo stesso Modello rinvia, sentite le rappresentanze o le organizzazioni di cui all'art. 51 del d.lgs. n. 81/2015 (associazioni sindacali comparativamente più rappresentative sul piano nazionale - loro rappresentanze sindacali aziendali ovvero rappresentanza sindacale unitaria);
  • "Nel settore privato, la scelta del soggetto cui affidare il ruolo di gestore delle segnalazioni è rimessa all’autonomia organizzativa di ciascun ente, in considerazione delle esigenze connesse alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta. Ciò, fermo restando il rispetto dei requisiti previsti dal legislatore. Tale ruolo, a meri fini esemplificativi, può essere affidato, tra gli altri, agli organi di internal audit, all’Organismo di vigilanza previsto dalla disciplina del d.lgs. n. 231/2001, ai comitati etici. Laddove il gestore versi in un’ipotesi di conflitto di interessi rispetto ad una specifica segnalazione (in quanto ad esempio soggetto segnalato o segnalante), si ritiene che ricorra una delle condizioni per effettuare una segnalazione esterna ad ANAC, non potendo essere assicurato che alla segnalazione sia dato efficace seguito";
  • "Nell’ambito del settore privato, il decreto dispone che gli enti e le persone con meno di 50 dipendenti, ma che abbiano istituito un modello 231, prevedano in esso sanzioni disciplinari tra l’altro nei confronti di coloro che accertano essere responsabili della violazione dell’obbligo di riservatezza nella gestione delle segnalazioni";
  • "Nei casi di accertamento delle dette responsabilità, al soggetto segnalante e denunciante è inoltre applicata una sanzione disciplinare124. È necessario quindi che gli enti del settore pubblico o privato inseriscano nei codici di comportamento o nel MOG 231 questa specifica fattispecie sanzionabile".  

Il 6 luglio 2023 il Garante per la privacy ha presentato la propria relazione annuale relativa al 2022. Nel documento, al par. 13.8 si affronta il tema del trattamento di dati nell'ambito delle procedure di acquisizione e gestione delle segnalazioni di illeciti (cd. whistleblowing):
<<13.8. Trattamento di dati nell’ambito delle procedure di acquisizione e gestione delle segnalazioni di illeciti (cd. whistleblowing)L’Autorità è tornata ad occuparsi del tema dei trattamenti dei dati personali nell’ambito delle procedure di acquisizione e gestione delle segnalazioni di illeciti da parte dei dipendenti e di soggetti terzi, come previsto dalla disciplina nazionale del cd. whistleblowing (l. 30 novembre 2017, n. 179 e art. 54-bis, d.lgs. 30 marzo 2001, n. 165). In tale quadro, nell’ambito di un ciclo di attività ispettive, avente a oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati, sono stati effettuati specifici accertamenti nei confronti di una azienda sanitaria ospedaliera (provv. 7 aprile 2022, n. 134, doc. web n. 9768363) e della società fornitrice che gestiva il servizio per conto della stessa (provv. 7 aprile 2022, n. 135, doc. web n. 9768387; Newsletter 11 maggio 2022, doc. web n. 9768702).
Nel caso di specie l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. La struttura sanitaria non aveva poi informato preventivamente i lavoratori in merito al trattamento, né effettuato una valutazione di impatto, né aveva inserito tali operazioni nel registro delle attività di trattamento. È infine emersa una scorretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Rpct, durante la fase di transizione con il suo successore. Quanto ai profili di responsabilità imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing, è stato rilevato che la stessa si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo, senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.
In un’altra istruttoria nei confronti di una società, che fornisce e gestisce per conto di diversi soggetti un applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite, sono stati rilevati profili di violazione alla disciplina di protezione dati (provv. 21 luglio 2022, n. 268, doc. web n. 9811271). Essendo emerso che la società non era stata individuata quale responsabile del trattamento né il relativo rapporto disciplinato ai sensi dell’art. 28 del RGPD, il Garante ha altresì adottato provvedimenti sanzionatori anche nei confronti di alcuni clienti della stessa, un comune e un gestore di servizi pubblici (provv.ti 21 luglio 2022, nn. 269, doc. web n. 9813326 e 270, doc. web n. 9811732). Nel caso di specie il comune e il gestore di servizi pubblici, titolari del trattamento, non avevano disciplinato sotto il profilo della protezione dei dati il rapporto con il fornitore, in violazione dell’art. 28 del RGPD mettendo, altresì, a diposizione dello stesso dati personali relativi a segnalazioni di condotte illecite, consentendogli di raccoglierle e conservarle mediante l’applicativo whistleblowing, in assenza di idoneo presupposto normativo (in violazione degli artt. 5, par. 1, lett. a ) e 6 del RGPD e dell’art. 2-ter del Codice). Parallelamente, le funzioni svolte dalla società avevano comportato un trattamento dei dati personali, seppur sottoposti a cifratura, dei segnalanti e degli altri interessati indicati nelle segnalazioni, di cui ciascuno dei suoi clienti risultava titolare. Non avendo ricevuto una specifica “istruzione documentata” al riguardo in qualità di responsabile del trattamento e non essendo stati indicati specifici presupposti giuridici per il trattamento dei dati personali da questa effettuata, il Garante ha sanzionato la società per non aver istituito il registro delle attività di trattamento svolte per conto dei propri clienti, titolari del trattamento, in violazione degli artt. 5, par. 1, lett. a), e 6 del RGPD e dell’art. 2-ter del Codice.>>
Per lo standard relativo ai "Whistleblowing management systems", si rinvia alle guide di cui alla norma ISO 37002:2021, emanata nel luglio 2021.

Confindustria ha pubblicato l'attesa <<Guida operativa per gli enti privati>> relativa alla <<nuova disciplina "whistleblowing">>.
Il documento fornisce agli enti privati una serie di indicazioni e misure operative atte ad assicurare la compliance alla nuova disciplina in materia di whistleblowing introdotta dal D.Lgs. n. 24/2023.
Tra gli aspetti che possono considerarsi, su un piano "operativo", maggiormente interessanti, si citano:
  • le modalità di adozione e implementazione degli <<strumenti concreti attraverso cui attivare il canale di segnalazione interno>> (in forma scritta - analogica e/o informatica - v. par. 3.1 della "Guida");
  • l'atto organizzativo (dell'ente) relativo alla definizione delle <<procedure per il ricevimento delle segnalazioni e per la loro gestione (par. 3.2 della "Guida");
  • le modalità di <<Gestione della segnalazione>> (v. par. 4 della "Guida");
  • i <<canali di segnalazione in condivisione e all'interno dei Gruppi (v. par. 5 della "Guida");
  • la <<tutela del segnalante e dei soggetti a esso assimilati>> (v. par. 6 della "Guida");
  • il <<trattamento dei dati personali>> (v. par. 7 della "Guida");
  • la <<disciplina whistleblowing e modello 231>> (v. par. 9 della "Guida");
  • le <<attività di formazione e informazione>> (v., par. 10 della "Guida").

Il 18.03.2024 l'A.N.AC. ha pubblicato il documento "Monitoraggio sulle criticità nell’applicazione della disciplina whistleblowing" .
19. L'elusione fraudolenta del Modello
Per evitare l'applicazione delle sanzioni 231, nel caso di commissione di un reato presupposto l'ente che abbia adottato un Sistema 231 deve dimostrare l'elusione fraudolenta del Modello.

​Con la citata sentenza relativa al caso "Impregilo" (Cass. Sez. V, sent. 18 dicembre 2013 - dep. 30.01.2014 - n. 4677), la Corte Suprema, facendo propria una definizione già proposta dal P.M. e accolta nella sentenza impugnata, ha affermato che <<l'inganno (...) di cui all'art. 6 comma 1 lett. c) D.lgs. 231/2001 è evidentemente diretto verso la struttura aziendale nel cui interesse è stato predisposto il modello organizzativo e gestionale di cui alla lett. a del predetto comma primo>>; in altri termini, per valutare se si è trattato di elusione fraudolenta, va accertato se la condotta tenuta dai vertici sia stata diretta ad ingannare proprio gli altri soggetti che, secondo la procedura, concorrono con il vertice nella realizzazione delle attività "a rischio". Per la Corte l'elusione fraudolenta <<non può consistere nella mera violazione delle prescrizioni contenute nel modello>>; lo stesso concetto di frode - <<la fraus legis facta di romanistica memoria>> - descrive, piuttosto, <<una condotta ingannevole, falsificatrice, obliqua, subdola>>.
In definitiva, ad avviso della Corte di legittimità, l'operato degli autori del reato presupposto in violazione del Modello deve tradursi in <<una condotta di "aggiramento" di una norma imperativa, non [in] una semplice e "frontale" violazione della stessa>>.

La Corte di Cassazione è intervenuta nuovamente sul tema con la sentenza n. 52316 del 9 dicembre 2016 (clicca qui per scaricare la sentenza). Con tale pronuncia la Corte Suprema ha affermato che il concetto di frode deve consistere in una condotta ingannevole, falsificatrice, obliqua, subdola, ovvero di aggiramento di una norma imperativa non essendo sufficiente, invece, la semplice violazione della stessa. In secondo luogo, la Corte di legittimità ha affermato l’inidoneità di un Organismo di Vigilanza  non in grado di garantire indipendenza e autonomia (nel caso di specie era composto da un amministratore appartenente al medesimo gruppo societario, da un commercialista di “fiducia” della proprietà e da un soggetto apicale della Società). 

Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.
20. Rating di legalità e Modello 231
Con un documento datato 14 gennaio 2021, il Consiglio Nazionale dei Dottori commercialisti e degli Esperti contabili ha affrontato il tema del rapporto tra Rating di legalità e Modello 231. (<<interventi che tendono a promuovere l’introduzione di principi etici nei comportamenti aziendali>>).
Di seguito si riporta uno stralcio del par. 2.2 di tale documento (l'enfasi è aggiunta):
<<... (omissis) ... All’interno dell’ultima modifica del 28 luglio 2020 alla delibera AGCM in tema di Regolamento attuativo in materia di Rating di Legalità, risulta confermata una forte interazione tra i due sistemi, in quanto viene sancito come il punteggio base sarà incrementato di un + (più) per l’adozione di una funzione o struttura organizzativa, anche in outsourcing, che espleti il controllo di conformità delle attività aziendali alle disposizioni normative applicabili all’impresa o di un Modello organizzativo ai sensi del D.Lgs. 231/2001, anche per l’adozione di modelli organizzativi di prevenzione e di contrasto della corruzione .
Il Modello organizzativo deve rispettare tutti i requisiti previsti dal decreto ed essere comprensivo di Codice etico, Organismo di Vigilanza e di un sistema disciplinare. Per vedersi riconosciuto il requisito in questione, la Società o l’Ente devono indicare la data di adozione del Modello da parte della società o dell’ente stesso e l’Organo deliberante.
In questo frangente, i valori contenuti all’interno del Modello 231 vengono ripresi da una normativa diversa come elemento premiante per quelle società ed enti che ambiscono all’attribuzione di un Rating più elevato, in termini di una maggiore credibilità, ad esempio nei rapporti con la Pubblica Amministrazione, per accedere ai finanziamenti pubblici e per ottenere vantaggi competitivi ed economici.
La facilitazione nell’ottenimento di un Rating maggiore rappresenta sicuramente un elemento di attrattività per i soggetti apicali in merito alla implementazione di un Modello 231, sia come valido strumento per tutelare le attività aziendali che per una corretta gestione dei rischi.>>

21. Modello 231 e DNF
Al fine di rafforzare la trasparenza delle informazioni sulle attività d'impresa, il D. Lgs. n. 254/2016 ha recepito la Direttiva 95/2014/UE e prevede che talune grandi imprese redigano la dichiarazione di carattere non finanziario – c.d. DNF – che contiene informazioni sui temi rilevanti in materia ambientale, sociale, attinente al personale, al rispetto dei diritti umani, all’anticorruzione, nella misura necessaria a comprendere l’andamento, i risultati e l’impatto dell’attività di impresa e, in ogni caso, fornendo alcune informazioni minime predeterminate (artt. 1, co. 1 e 2). Come precisato, al riguardo, dalle "Linee guida 231" di Confindustria (giugno 2021):
  • <<Tra i contenuti essenziali dell’informativa il provvedimento indica anche la descrizione del modello di gestione e di organizzazione delle attività d’impresa, eventualmente adottato ai sensi del decreto 231, nonché la descrizione: delle politiche praticate dall’impresa, comprese quelle di due diligence, i risultati conseguiti e i relativi indicatori fondamentali di prestazione di carattere non finanziario; dei principali rischi connessi ai temi oggetto della DNF e derivanti dall’attività di impresa, dai prodotti, servizi o rapporti commerciali, incluse le catene di fornitura e subappalto se rilevanti. ... (omissis) ... Specifiche disposizioni sono dedicate alla collocazione della dichiarazione non finanziaria (individuale e consolidata) che può essere una parte integrante della relazione sulla gestione o, in via alternativa, una relazione autonoma. Nel secondo caso, la relazione viene pubblicata sul registro delle imprese, insieme alla relazione sulla gestione (art. 5).>>
L'International Financial Reporting Standards Foundations (IFRS) ha annunciato il rilascio delle prime bozze di esposizione degli standard proposti per la sostenibilità aziendale e le informative relative al clima da parte del suo International Sustainability Standards Board (ISSB).
22. Linee guida di categoria per la costruzione del Modello 231
Al termine del processo di secondo grado "Banca Popolare di Vicenza", la Corte di Appello di Venezia, Sez. I penale, con la sentenza 4 gennaio 2023 (ud. 10 ottobre 2022), n. 3348è intervenuta sui temi relativi: (i) all'adeguatezza dei presidi previsti dal Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001; (ii) ai poteri attribuiti all'Organismo di Vigilanza; (iii) alla indipendenza dell'Organismo di Vigilanza; (iv) al valore da attribuire alla conformità alle linee guida di comportamento delle associazioni di categoria.

In particolare, a quest'ultimo proposito i giudici hanno evidenziato che la giurisprudenza di legittimità ha precisato, «con argomenti del tutto persuasivi, come nessun rinvio per relationem a schemi predisposti dalle associazioni di categoria (e ancor meno, quindi, a presunte “best practices“, nella specie, peraltro, neppure evocate) possa ritenersi operato dalla previsione ex art. 6, co. 3 D. L.vo cit., là dove pure è previsto che i modelli di organizzazione possano (e non debbano) essere adottati sulla scorta di codici di comportamento redatti dalle associazioni rappresentative del settore, spettando al giudice – il quale, beninteso, non potrà fare leva su personali convincimenti, ovvero su soggettive opinioni – la verifica dell’adeguatezza del modello, una volta doverosamente “calato nella realtà aziendale nella quale è destinato a trovare attuazione».
23. Giurisprudenza