Premessa
L’organismo di vigilanza rappresenta, oggi, il punto più nevralgico del sistema di prevenzione dei reati ai sensi del D.lgs 231/2001, contenendo in sé le risposte a quelle che, a parere di chi scrive, rappresentano le principali difficoltà applicative della normativa: la contestazione, da parte delle Procure, della mancata predisposizione dei presidi preventivi a macchia d’olio sul territorio italiano, e, la valutazione in concreto d’efficacia di tali presidi, per quelle aziende che del sistema preventivo invece si sono dotate.
I poteri di accesso e verifica: dalla teoria alla prassi operativa
I poteri di cui l’organismo di vigilanza è investito, a dispetto della sua dichiarata funzione di chiusura del sistema 231, non sono sufficientemente regolamentati dal testo della normativa. Troviamo, anzi, scarni riferimenti in due soli articoli del D.lgs. 231/2001: l’art. 6, in relazione ai poteri di accesso e verifica, e l’art. 7, che invece ci dice qualcosa in più sulle modalità con le quali questi poteri possono estrinsecarsi, ovvero la dinamicità dell’esercizio.
Eppure l’esercizio concreto degli “autonomi poteri di iniziativa e di controllo” previsti dal D. lgs. 231/2001 rappresenta uno degli aspetti più delicati dell’attività dell’organismo. La normativa, infatti, non fornisce neppure indicazioni specifiche sulle modalità operative, lasciando alla prassi e alla giurisprudenza il compito di definire i contorni concreti di questi poteri.
L’organismo deve innanzitutto poter accedere a tutte le informazioni necessarie per valutare l’efficacia del modello organizzativo.
Questo diritto si articola in diverse dimensioni: l’accesso alla documentazione aziendale (cartacea e informatica), ai sistemi informativi, la possibilità di condurre colloqui con il personale e di effettuare verifiche dirette sui processi operativi. E’ un accesso che deve essere garantito in maniera tempestiva e completa, pena la responsabilità per impedimento all’esercizio dei poteri di vigilanza con conseguenze in punto di tracciabilità delle decisioni. La conduzione delle verifiche richiede metodologie rigorose che garantiscano attendibilità e completezza. L’organismo deve quindi sviluppare un piano di verifiche calibrato sui rischi specifici dell’ente, con particolare attenzione alle aree sensibili identificate nel modello organizzativo. Le verifiche possono essere documentali, sul campo, attraverso interviste o analisi dei processi. Ogni tipologia richiede competenze specifiche e deve essere documentata dettagliatamente per garantire la tracciabilità dei controlli effettuati.
Si comprende allora facilmente la criticità dei requisiti dell’indipendenza ed autonomia dell’organismo.
La giurisprudenza ha sviluppato criteri specifici per valutare l’effettiva indipendenza. Il Tribunale di Ancona (Tribunale civile Ancona sentenza n. 699 del 3 aprile 2024) ha chiarito che il requisito di autonomia è soddisfatto quando “non vi sia identità tra controllato e controllante“, precisando che devono essere esclusi dall’organismo “i soggetti sottoposti al potere gerarchico dell’organo dirigente che svolgano compiti potenzialmente connessi alle aree a rischio commissione reati” e “soggetti terzi laddove svolgano rilevanti funzioni operative nelle suddette aree a rischio di commettere un reato presupposto“.
Nondimeno, la tutela dell’indipendenza passa anche attraverso adeguate garanzie nella nomina e nella revoca: sul punto la giurisprudenza di merito, ha stabilito che la revoca “non può essere disposta se non per giustificati motivi, in coerenza con le esigenze di tutela dell’indipendenza e dell’autonomia dell’importante organo di prevenzione e controllo“, proprio a suggello del ruolo.
L’articolo 7 del D.lgs. 231/2001 configura l’organismo come soggetto dinamico e proattivo, chiamato non solo a vigilare sull’ente, ma anche a promuovere l’evoluzione del sistema preventivo attraverso “una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività“.
La giurisprudenza ha rimarcato l’importanza di questo ruolo dinamico, valorizzando la proattività dell’organismo di vigilanza nell’aggiornamento, modifiche ed integrazioni di alcuni protocolli e procedure aziendali. L’organismo, infatti, deve saper dialogare con le diverse funzioni di controllo presenti nell’ente, valorizzando le competenze specifiche e promuovendo un approccio integrato alla gestione dei rischi.
La questione della responsabilità dell’organismo richiede un’analisi attenta dei confini tra doveri di vigilanza e limiti operativi. L’impianto normativo configura la responsabilità in termini di “omessa o insufficiente vigilanza”, richiedendo una valutazione caso per caso dell’adeguatezza dell’attività svolta. Questo perché non basta la mera adozione del modello o il formalismo dei controlli effettuati, ma l’organismo deve impiegare la diligenza qualificata richiesta dalla natura dell’incarico, potendo incorrere, secondo le più recenti ricostruzioni giurisprudenziali, in responsabilità contrattuale in ragione di un difetto dell’attività svolta.
Certamente l’organismo non può essere considerato un garante assoluto dell’efficacia del modello. La Cassazione penale ha precisato che “l’organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero inevitabilmente la stessa autonomia“, specificando che “un modello organizzativo che rendesse obbligatorio un preventivo controllo di qualsiasi atto del presidente o dell’amministratore delegato di una società, senza distinzione di contenuti e/o di rilevanza, sarebbe difficilmente conciliabile con il potere di rappresentanza, d’indirizzo e di gestione dell’ente” (Cassazione penale Sez. VI sentenza n. 23401 del 15 giugno 2022).
Considerazioni conclusive
L’analisi della giurisprudenza più recente evidenzia un orientamento verso una valutazione sempre più sostanziale dell’attività dell’organismo di vigilanza, privilegiando l’analisi dell’effettiva capacità di controllo rispetto al mero rispetto formale delle procedure.
L’organismo si configura sempre più come un soggetto qualificato e specializzato, chiamato a svolgere una funzione di alta consulenza nella prevenzione dei rischi. La sua efficacia dipende non solo dalla corretta configurazione formale, ma soprattutto dalla capacità di interpretare il proprio ruolo in chiave dinamica e proattiva.
La sfida per il futuro consiste nel mantenere l’equilibrio tra rigore metodologico e flessibilità operativa, tra controllo sostanziale e sostenibilità economica, tra prevenzione efficace e rispetto dell’autonomia imprenditoriale. È una sfida che richiede competenza, esperienza e una visione strategica del ruolo dell’organismo nel più ampio sistema di governance aziendale.
L’evoluzione giurisprudenziale dimostra come l’istituto dell’organismo di vigilanza abbia raggiunto una maturità operativa che consente di affrontare con maggiore consapevolezza le sfide della prevenzione dei reati aziendali, contribuendo significativamente al miglioramento della cultura della legalità nelle organizzazioni italiane.
