MOG 231/01 e Sistemi qualità, non sono alternativi
Cassazione: diverse le finalità e i presupposti, i modelli qualità non sono sostitutivi dei MOG previsti dal D. Lgs. 231/01

Il D. Lgs. 231/01 ed i modelli di certificazione della qualità (ISO 9001)
(primo di una serie di articoli)
È stata depositata da un paio di settimane l’importante decisione della Cassazione, Sez. VI Penale, N. 41768/2017, che - fra l’altro - definisce una volta per tutte il criterio di demarcazione tra i Modelli di Organizzazione e Gestione ("MOG") che le imprese devono adottare e mantenere attuali al fine di sottrarsi dalla responsabilità degli enti (e dalle sanzioni conseguenti) nel caso si verifichino i cd. "reati presupposti" previsti dal D. Lgs. 231/01 ed il complesso dei modelli organizzativi conseguenti all’assoggettamento dei rispettivi processi produttivi alle certificazioni di qualità - UNI EN ISO 9001 etc.
È bene chiarire subito che, secondo la S. C., le due tipologie di modelli non sono succedanee l’una dell’altra, diverse essendone le finalità, i presupposti e, soprattutto, le strutture di base.
Osserva infatti la sentenza che "i modelli aziendali UNI EN ISO 9001 non possono essere ritenuti equivalenti ai modelli richiesti dal D. Lgs. N. 231/01 perché non conten[gono] l’individuazione degli illeciti da prevenire, unitamente alla specificazione del sistema sanzionatorio delle violazioni del modello e si riferivano eminentemente al controllo della qualità del lavoro [sia pure] nell’ottica del rispetto delle normative sulla prevenzione degli infortuni sul lavoro o degli interessi tutelati dalle normative in materia ambientale".
È noto, infatti, che la fase di "mappatura dei rischi" e quella, conseguente, di identificazione dei "reati presupposto" che il MOG deve tendere a prevenire costituisce un passaggio imprescindibile, e di cui deve apparire traccia, nel MOG stesso.
Appare utile un veloce riepilogo della disciplina in questione:
(1) ex artt. 5 e 6 del D. Lgs. 231/01, l’ente è responsabile per i reati (a) commessi a suo interesse o vantaggio; (b) da soggetti apicali o persone soggette alla supervisione e vigilanza di questi; (c) sempre che gli agenti non abbiano agito nell’interesse proprio o di terzi
(2) la responsabilità dell’ente è comunque esclusa ove si possa provare che l’ente (i) ha adottato ed efficacemente attuato un modello di organizzazione e gestione idoneo a prevenire i reati come quello verificatosi; (ii) ha affidato la vigilanza sul modello ad apposito organismo; (iii) il reato è stato commesso aggirando fraudolentemente il MOG; e (iv) non vi è stata omessa vigilanza da parte dell’apposito organismo. Infine, e non meno importante
(3) i modelli 231 devono, almeno: (α) individuare le attività nel cui ambito possono essere commessi reati; (β) prevedere specifici protocolli di formazione in ordine ai reati da prevenire; (γ) prevedere modalità di gestione delle risorse finanziarie idonee a prevenire la commissione dei reati; (δ) prevedere obblighi di informazione nei confronti dell’organismo di vigilanza; e (ε) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Completano le caratteristiche di un MOG ai sensi del Decreto 231/01, costituendone elemento strutturale proprio, l’adozione di un Codice Etico e di un sistema di Procedure aziendali funzionali al governo dei processi in ottica di prevenzione dei reati.
Pur simili per molteplici aspetti, pertanto, i modelli aziendali concernenti l’organizzazione del lavoro e dei processi produttivi a fini di controllo della qualità non coincidono con i MOG richiesti dal D. Lgs. 231/01, perché non ne hanno le caratteristiche strutturali, i presupposti, le finalità.
Ancorché non (ancora) affrontata dai giudici, si può immaginare che la questione sulla sovrapposizione del MOG/231 con i modelli UNI EN ISO 37001 (certificazione anticorruzione) troverà sostanzialmente analoga soluzione: sia per la limitatezza dei temi affrontati dal modello aziendale anti-corruzione che, in buona parte, per la riproposizione delle medesime obiezioni illustrate nella sentenza qui in commento.
Ugualmente irrisolto, inoltre, il tema relativo alla ricerca di un utile parametro alla cui stregua valutare la idoneità dei MOG (art. 6, co. 1, lett. a) del D. Lgs. 231/01) a prevenire la commissione dei reati. O - in altre parole - l’equilibrio che va necessariamente ricercato e trovato tra l’impegno nella prevenzione, la sostenibilità dei costi che vi si associano, l’intrinseca connessione tra attività di impresa e rischio. Su questi temi si tornerà a discutere a breve.
(primo di una serie di articoli)
È stata depositata da un paio di settimane l’importante decisione della Cassazione, Sez. VI Penale, N. 41768/2017, che - fra l’altro - definisce una volta per tutte il criterio di demarcazione tra i Modelli di Organizzazione e Gestione ("MOG") che le imprese devono adottare e mantenere attuali al fine di sottrarsi dalla responsabilità degli enti (e dalle sanzioni conseguenti) nel caso si verifichino i cd. "reati presupposti" previsti dal D. Lgs. 231/01 ed il complesso dei modelli organizzativi conseguenti all’assoggettamento dei rispettivi processi produttivi alle certificazioni di qualità - UNI EN ISO 9001 etc.
È bene chiarire subito che, secondo la S. C., le due tipologie di modelli non sono succedanee l’una dell’altra, diverse essendone le finalità, i presupposti e, soprattutto, le strutture di base.
Osserva infatti la sentenza che "i modelli aziendali UNI EN ISO 9001 non possono essere ritenuti equivalenti ai modelli richiesti dal D. Lgs. N. 231/01 perché non conten[gono] l’individuazione degli illeciti da prevenire, unitamente alla specificazione del sistema sanzionatorio delle violazioni del modello e si riferivano eminentemente al controllo della qualità del lavoro [sia pure] nell’ottica del rispetto delle normative sulla prevenzione degli infortuni sul lavoro o degli interessi tutelati dalle normative in materia ambientale".
È noto, infatti, che la fase di "mappatura dei rischi" e quella, conseguente, di identificazione dei "reati presupposto" che il MOG deve tendere a prevenire costituisce un passaggio imprescindibile, e di cui deve apparire traccia, nel MOG stesso.
Appare utile un veloce riepilogo della disciplina in questione:
(1) ex artt. 5 e 6 del D. Lgs. 231/01, l’ente è responsabile per i reati (a) commessi a suo interesse o vantaggio; (b) da soggetti apicali o persone soggette alla supervisione e vigilanza di questi; (c) sempre che gli agenti non abbiano agito nell’interesse proprio o di terzi
(2) la responsabilità dell’ente è comunque esclusa ove si possa provare che l’ente (i) ha adottato ed efficacemente attuato un modello di organizzazione e gestione idoneo a prevenire i reati come quello verificatosi; (ii) ha affidato la vigilanza sul modello ad apposito organismo; (iii) il reato è stato commesso aggirando fraudolentemente il MOG; e (iv) non vi è stata omessa vigilanza da parte dell’apposito organismo. Infine, e non meno importante
(3) i modelli 231 devono, almeno: (α) individuare le attività nel cui ambito possono essere commessi reati; (β) prevedere specifici protocolli di formazione in ordine ai reati da prevenire; (γ) prevedere modalità di gestione delle risorse finanziarie idonee a prevenire la commissione dei reati; (δ) prevedere obblighi di informazione nei confronti dell’organismo di vigilanza; e (ε) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Completano le caratteristiche di un MOG ai sensi del Decreto 231/01, costituendone elemento strutturale proprio, l’adozione di un Codice Etico e di un sistema di Procedure aziendali funzionali al governo dei processi in ottica di prevenzione dei reati.
Pur simili per molteplici aspetti, pertanto, i modelli aziendali concernenti l’organizzazione del lavoro e dei processi produttivi a fini di controllo della qualità non coincidono con i MOG richiesti dal D. Lgs. 231/01, perché non ne hanno le caratteristiche strutturali, i presupposti, le finalità.
Ancorché non (ancora) affrontata dai giudici, si può immaginare che la questione sulla sovrapposizione del MOG/231 con i modelli UNI EN ISO 37001 (certificazione anticorruzione) troverà sostanzialmente analoga soluzione: sia per la limitatezza dei temi affrontati dal modello aziendale anti-corruzione che, in buona parte, per la riproposizione delle medesime obiezioni illustrate nella sentenza qui in commento.
Ugualmente irrisolto, inoltre, il tema relativo alla ricerca di un utile parametro alla cui stregua valutare la idoneità dei MOG (art. 6, co. 1, lett. a) del D. Lgs. 231/01) a prevenire la commissione dei reati. O - in altre parole - l’equilibrio che va necessariamente ricercato e trovato tra l’impegno nella prevenzione, la sostenibilità dei costi che vi si associano, l’intrinseca connessione tra attività di impresa e rischio. Su questi temi si tornerà a discutere a breve.
Articolo del: