La responsabilità penale delle persone giuridiche nell’ordinamento italiano – Criminal Compliance delle imprese in Italia- Agosto 2022

a cura di  Salvatore D’Ambra*

    1 Introduzione

Questo specifico country report intende fornire una breve panoramica sulla responsabilità associativa italiana, in particolare in termini di diritto penale, e presentare l’essenziale connessione tra la Criminal Compliance, la responsabilità penale delle persone giuridiche ed i sistemi di Compliance (noti anche come Compliance- Management-System o CMS) e la Compliance Culture, che vengono utilizzati e praticati nella prassi aziendale. La Criminal Compliance in Italia è una pietra miliare della criminologia economica italiana e fa parte di un moderno diritto penale economico. La conformità penale gioca un ruolo molto importante nella responsabilità associativa italiana. L’Italia beneficia di una prassi più che ventennale (il decreto legislativo 8 giugno 2001, n. 231, successivamente anche d.lgs. 231/01, risale al 2001), che consente alle aziende di adeguare i sistemi di Compliance all’interno delle proprie organizzazioni in conformità alla legge, sulla base dell’esperienza già acquisita, nonché dei risultati e delle sentenze della magistratura italiana, delle autorità di vigilanza e dei gruppi di interesse. Mentre la legge si limita a fornire i principi essenziali sui sistemi di Compliance e sulla loro implementazione e sulla creazione di un’adeguata cultura della Compliance, nella pratica aziendale si utilizzano le linee guida di Confindustria. Poiché queste linee guida sono
molto importanti per i requisiti di conformità e quindi per la pratica delle aziende, questo articolo le discuterà brevemente e metterà in evidenza la parte generale delle linee guida.

2 Base legale in Italia

La responsabilità associativa italiana e la responsabilità penale delle associazioni (enti) sono state istituite in Italia nel 2001 con il d.lgs. 231/01. Il d.lgs. 231/01 è stato emanato sulla base della legge n. 300 del 29 settembre 2000 e, in attuazione di una serie di accordi comunitari e internazionali, disciplina la responsabilità penale delle persone giuridiche, delle società e delle associazioni.1

È interessante notare che il titolo stesso del decreto parla di responsabilità amministrativa e non parla esplicitamente di responsabilità penale. Tuttavia, il decreto elenca un catalogo separato di reati e l’eventuale responsabilità associativa è stabilita in un procedimento penale. La Corte Suprema di Cassazione nella sentenza del 24 aprile 2014, n. 38343 CP 2015 ha stabilito, tra l’altro, che la responsabilità associativa non è né di diritto amministrativo né di diritto penale, ma è un cosiddetto tertium genus. 2

Questo punto di vista corrisponde alla letteratura e alla dottrina prevalente.3 Tuttavia, si tratta di disposizioni penali di fatto che rientrano nella giurisdizione dei tribunali ordinari (tribunali penali). 4 Pertanto, sia i requisiti giuridici sostanziali (catalogo dei reati) che il diritto procedurale (imputazione della responsabilità dell’associazione nel procedimento penale) fanno riferimento al diritto penale.

3 Responsabilità dell’associazione

Il d.lgs. 231/01 prevede quindi per la prima volta la punizione delle società per determinati reati. Per la commissione dei reati elencati nel d.lgs. 231/01 è necessario che la persona che agisce (solitamente in posizione di organo) agisca nell’interesse e a vantaggio dell’azienda. Secondo la legge italiana, la società è responsabile degli atti dei suoi organi. Vale la pena ricordare che la responsabilità penale del soggetto agente (persona fisica) rimane inalterata. L’azienda non è responsabile nell’ordinamento giuridico italiano se può dimostrare di aver adottato precauzioni sufficientemente idonee a garantire che non vengano commessi reati penali nell’ambito della sua sfera di responsabilità. 5

Il campo di applicazione delle disposizioni è definito con precisione nel d.lgs. 231/01: Ai sensi dell’art. 1 d.lgs. 231/01 la sua applicabilità si applica non solo a tutte le persone giuridiche, ma anche alle società e alle associazioni senza personalità giuridica. Anche un cambiamento di forma giuridica consente di mantenere la responsabilità dell’associazione (art. 28 d.lgs. 231/01). Le disposizioni del d.lgs. 231/01 non si applicano alle imprese individuali o alle associazioni senza personalità giuridica che non siano società o associazioni. Una decisione rilevante per la prassi giuridica italiana è stata presa a questo proposito dal giudice penale di Milano. Il tribunale penale ha stabilito che il d.lgs. 231/01 non si applica alle società con un solo azionista. Il caso deciso riguardava una srl a 1 euro (società a responsabilità limitata) paragonabile a una UG tedesca. Nel caso specifico, il giudice penale ritiene che, nel caso di una società unipersonale, non si possa stabilire un interesse economico autonomo e separato dalla società che appaia meritevole di punizione.6 Inoltre, per alcune associazioni di diritto pubblico sono previste ulteriori eccezioni (ad esempio, le imprese familiari ai sensi dell’art. 230-bis del Codice Civile italiano).

Nell’ordinamento giuridico italiano, le società che rientrano nell’ambito di applicazione possono quindi essere ritenute penalmente responsabili se vengono commessi reati da parte dei suoi amministratori, dirigenti o dipendenti (responsabili delle decisioni ai sensi dell’art. 5 comma 1 lit. a) d.lgs. 231/01), nonché da parte di persone che agiscono in nome o per conto della società (subordinazione diretta di persone ai responsabili delle decisioni, si veda anche l’art. 5 comma 1 lit b) d.lgs. 231/01), da cui la società ha tratto un vantaggio diretto o indiretto. La responsabilità, invece, decade se l’autore del reato ha agito esclusivamente nel proprio interesse o nell’interesse di terzi (interesse proprio o interesse di terzi). La responsabilità delle società ai sensi del d.lgs. 231/01 si applica alle società in aggiunta alla responsabilità della persona fisica che ha commesso l’atto penalmente rilevante. 7

Un ulteriore elemento essenziale del reato è che il reato sia stato commesso nell’interesse (esame ex ante) o a beneficio (esame ex post) dell’associazione ai sensi dell’art. 5 d.lgs. 231/01. 8

La responsabilità penale dell’azienda sussiste anche nel caso in cui l’autore del reato non sia stato individuato o non è colpevole o se il reato sia stato estinto per una ragione diversa dall’amnistia. Inoltre, la suddetta responsabilità sussiste anche nel caso di reati commessi all’estero se la sede principale dell’ente si trova in Italia e lo Stato estero in cui è stato commesso il reato non procede nei suoi confronti (art. 4 comma 1 d.lgs. 231/01).

Tuttavia il d.lgs. 231/01 prevede la possibilità per le aziende di essere esonerate dalla responsabilità se l’azienda ha introdotto ed efficacemente attuato un modello organizzativo adeguato.

4 Catalogo dei reati e sistema sanzionatorio

L’elenco dei reati del d.lgs. 231/01 è un elenco esaustivo (in Austria, ad esempio, non è così nella legge austriaca del Verbandsverantwortlichkeitsgesetz, öVbVG). Alcuni reati sono stati recentemente aggiunti dall’art. 3 comma 1 della legge n. 22 del 2022.

I seguenti reati sono elencati in modo esaustivo nel decreto (ultimo aggiornamento agosto 2022):

1) reati di sovvenzione, frode ai danni dello Stato e frode informatica (art. 24);
2) reati informatici (art. 24-bis);
3) reati di criminalità organizzata (art. 24-ter);
4) reati di corruzione (art. 25);
5) contraffazione di monete e altri reati in materia di titoli (art. 25-bis);
6) reati contro l’industria e il commercio (art. 25-bis.1);
7) reati in materia di diritto societario (art. 25-ter);
8) reati di terrorismo o reati di repressione dell’ordine democratico (art. 25-quater);
9) mutilazioni genitali femminili (art. 25-quater.1);
10) reati contro la personalità individuale (art. 25-quinquies);
11) reati di abuso di mercato (art. 25-sexies);
12) omicidio colposo o lesioni personali gravi o gravissime commesse con violazione delle disposizioni in materia di prevenzione degli infortuni, tutela dell’igiene e della salute sul lavoro (art. 25-septies);
13) ricettazione, riciclaggio e impiego di denaro, beni o altre utilità di provenienza illecita (art. 25-octies);
14) i reati previsti dalla legge sul diritto d’autore (art. 25-nonies);
15) induzione a non rendere testimonianza o a rendere falsa testimonianza all’autorità giudiziaria (art. 25-decies);
16) reati ambientali (art. 25-undecies);
17) reati di migrazione (art. 25-duodecies);
18) reati di razzismo e xenofobia (art. 25-terdecies);
19) frode in competizioni sportive, gioco d’azzardo o scommessa non autorizzati e gioco
d’azzardo con l’ausilio di dispositivi vietati (art. 26-quaterdecies);
20) reati fiscali (art. 25 quinquiesdecies);
21) contrabbando (art. 25 sexiesdecies);

22) reati contro il patrimonio culturale (art. 25 septiesdecies);
23) riciclaggio di beni culturali e distruzione e saccheggio di beni culturali e paesaggistici (art. 25 duodevicies);
24) reati di criminalità organizzata transnazionale.

Per quanto riguarda il sistema sanzionatorio, il legislatore italiano conosce una varietà di strumenti sanzionatori diversi (art. 9 d.lgs. 231/01). Questo distingue il sistema giuridico italiano dalla legislazione austriaca, ad esempio, che prevede solo una sanzione pecuniaria come sanzione associativa. Il legislatore italiano ha quindi riconosciuto la necessità di adattare il sistema sanzionatorio alle specificità di imprese e associazioni.

Secondo il d.lgs. 231/01, oltre alle sanzioni pecuniarie a titolo di sanzione amministrativa pecuniaria (art. 10 d.lgs. 231/01), che sono calcolate secondo un sistema di quote e non possono superare 1,53 milioni di euro, prevede le sanzioni interdittive temporanee (art. 13 d.lgs. 231/01) e l’amministrazione temporanea in via fiduciaria da parte di un commissario giudiziale (art. 13 15 d.lgs. 231/01), che viene concessa dal tribunale come sanzione sostitutiva delle sanzioni di interdizione temporanea a determinate condizioni, nonché la pubblicazione della sentenza (art. 18 d.lgs. 231/01) e la confisca (art. 19 d.lgs. 231/01) del premio e del profitto del reato di occasione, che viene pronunciata indipendentemente dalla condanna dell’associazione. Sistematicamente, tuttavia, la sanzione pecuniaria mantiene la sua importanza primaria negli strumenti sanzionatori del d.lgs. 231/01, poiché le sanzioni di divieto, la pubblicazione di una sentenza e la confisca non possono essere imposte esclusivamente, ma solo in combinazione con una sanzione pecuniaria.9

A causa delle possibilità sanzionatorie altamente invasive (si pensi in particolare alla confisca) presenti nell’ordinamento italiano, il legislatore prevede diverse cause di attenuazione o esenzione della pena. Il d.lgs. 231/01, ad esempio, prevede un motivo di esonero per l’associazione nel caso in cui essa disponesse già di un sistema di Compliance funzionale (ed efficace) prima del reato. 10 In questo caso, l’importanza di un sistema di Compliance funzionante ed efficace e dell’implementazione di un’adeguata cultura della Compliance diventa ancora una volta molto chiara.11 L’art. 6 d.lgs. 231/01 prevede un’esplicita causa di esclusione della responsabilità se, nel caso di reati commessi da persone in posizione “gestionale”, l’azienda dimostra che:

a) prima della commissione del reato, l’organo dirigente ha approvato e attuato modelli organizzativi e un sistema organizzativo idonei a prevenire la commissione dei reati previsti dal d.lgs. 231/01;

b) il compito di vigilare sull’efficacia e sull’osservanza dei modelli organizzativi e di curarne l’adeguamento è stato affidato a un organismo interno (organo di controllo interno, ad esempio la funzione di Compliance) dotato di autonomi poteri di iniziativa e controllo (indipendenza e imparzialità);

c) l’imputato abbia commesso il reato eludendo intenzionalmente e fraudolentemente i modelli organizzativi;

d) l’organismo di cui al punto b) non abbia svolto le proprie attività o che le abbia svolte in modo inadeguato.

Inoltre, sono previste diminuzioni delle sanzioni associative se, ad esempio, l’associazione adotta misure specifiche dopo il reato (il cosiddetto comportamento post reato) per compensare i danni e implementare o migliorare le proprie strutture di conformità (art. 12 e art. 17 d.lgs. 231/01).12

5  Compliance-System nell’applicazione pratica

I cosiddetti Compliance-Management-System (CMS) sono molto importanti nella pratica commerciale e svolgono un ruolo essenziale nell’attuazione delle norme di conformità e nell’istituzione della Criminal Compliance nelle aziende. Il legislatore italiano ha previsto incentivi rudimentali per l’implementazione del CMS nelle aziende nel d.lgs. 231/01. I requisiti specifici per la strutturazione del CMS o del modello organizzativo non sono trattati nel d.lgs.
231/01. Le linee guida di Confindustria sono rilevanti in questo caso.

In linea di principio, l’implementazione di un CMS adeguato dovrebbe garantire che il modello organizzativo e la sua coerente attuazione servano a introdurre misure per le varie aree di attività dell’azienda che impediscano la commissione di reati. 13 Inoltre, viene introdotto un sistema disciplinare che sanziona il mancato rispetto delle misure previste dalla CMS (nel rispetto del diritto delle parti di essere ascoltate, audiatur et altera pars).14 Come già descritto in precedenza, l’implementazione di un CMS appropriato ed efficace dopo il reato può attenuare le sanzioni contro l’associazione (art. 12 e art. 17 d.lgs. 231/01), mentre il mantenimento di un CMS efficiente ed efficace già prima del reato può, ad ulteriori condizioni, eliminare completamente la responsabilità dell’associazione (art. 6 d.lgs. 231/01).

Per garantire ciò, il CMS deve identificare le attività dell’azienda in cui possono essere commessi reati. Devono essere previsti obblighi di informazione e controllo e deve essere garantito un monitoraggio efficace del CMS.

Excursus: Le linee guida di Confindustria

Nel 2002 Confindustria ha emanato per la prima volta delle linee guida sulla Compliance ai sensi del d.lgs. 231/01 accreditate dal Ministero competente. Le linee guida sono state modificate per l’ultima volta nel 2021. La parte generale delle stesse linee guida di Confindustria, contiene una panoramica del d.lgs. 231/01 e proposte concrete per l’implementazione di varie misure di Compliance, mentre la parte speciale contiene vari casi di studio su modelli organizzativi e CMS.

La sezione generale contiene un modello di prevenzione a due fasi. Ciò comporta innanzitutto l’identificazione dei rischi, al fine di individuare tali rischi corrispondenti nei settori di attività e di ricavarne le misure appropriate. Queste misure devono essere coperte dal CMS e devono essere concepite in modo tale da non poter essere compromesse da una semplice disattenzione, ma solo da un’elusione fraudolenta. Le linee guida definiscono quindi il livello accettabile di rischio penale rispetto al quale deve essere misurata la cultura della Compliance aziendale.

Secondo le linee guida, i seguenti controlli devono essere coperti dal CMS:

a) Documentazione delle attività: ogni attività dell’azienda deve essere documentata, controllabile ed adeguata all’obiettivo;

b) Principio del doppio controllo (tra le altre cose, occorre evitare i conflitti di interesse);

c) Documentazione dei controlli stessi.

La prevenzione del CMS si basa su due ipotesi di reato, la prevenzione dei reati intenzionali e la prevenzione dei reati colposi.

Per la prevenzione dei reati intenzionali, le linee guida raccomandano di adottare un codice etico e di garantire che il CMS sia aggiornato e trasparente. Una priorità importante è data anche all’istruzione e alla formazione dei dipendenti (in particolare dei responsabili della Compliance).

Per prevenire atti di negligenza, le linee guida raccomandano, oltre al codice etico, la massima trasparenza nell’indicare le aree di responsabilità ed i compiti delle persone coinvolte nel processo aziendale.

Lo scorso giugno Confindustria ha pubblicato un nuovo aggiornamento delle “Linee guida per la predisposizione dei modelli di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01”. Questo aggiornamento non rappresenta una modifica della struttura originariamente approvata nel 2002, ma un ampliamento reso necessario dalle innovazioni del panorama legislativo.

Sulla base delle nuove disposizioni della legge italiana, la parte generale prevede:

a) una chiara indicazione per le aziende di adottare un approccio integrato (Compliance integrativo) alla gestione del rischio, con particolare attenzione alla conformità fiscale;

b) in materia di “whistleblowing”, alcune indicazioni per aiutare le aziende a introdurre nel proprio modello organizzativo misure idonee a recepire i requisiti normativi relativi alle modalità di effettuazione e gestione delle segnalazioni;

c) l’attuazione della cosiddetta legge globale sulla corruzione;

d) le innovazioni relative all’Organismo di Vigilanza e riferimento al nuovo Corporate Governance Codex delle società quotate, che si applicherà a partire dal primo esercizio finanziario successivo al 31 dicembre 2020.

6 Conclusioni

Già nel 2001 il legislatore italiano ha introdotto nell’ordinamento giuridico italiano una legge che prevede una responsabilità penale separata per le società in caso di violazione delle disposizioni in materia di Compliance e che, oltre alle sanzioni pecuniarie, prevede anche, ad esempio, l’esclusione della società dalle gare d’appalto pubbliche, sequestri, prelievi sugli utili, chiusura delle attività e revoca delle autorizzazioni.

In Italia, secondo le disposizioni del d.gs. 231/01, le aziende sono tenute a garantire un CMS efficace. Oltre a un catalogo completo di reati, le norme di legge prevedono anche uno spostamento dell’onere della prova se i reati sono stati commessi dall’interno dell’azienda e che l’azienda non abbia stabilito regole di conformità. In caso di reati come la corruzione, i cartelli, le frodi contabili, i reati ambientali o le violazioni della legge sulla sicurezza sul lavoro, possono
essere chiamati a rispondere non solo le persone e i dipendenti che agiscono, ma anche l’azienda stessa.

Le disposizioni del d.lgs. 231/01 in vigore in Italia prevedono linee guida di conformità estremamente severe. Le violazioni possono talvolta comportare notevoli responsabilità e rischi penali.

Ancora una volta è evidente che in Italia la Criminal Compliance gioca un ruolo molto importante nella responsabilità associativa e che il tema non perde la sua esplosività a causa degli adeguamenti legislativi, della giurisprudenza in corso e degli aggiornamenti delle linee guida di importanti associazioni di interesse.

7 Bibliografia

Achenbach/Ransiek/Rönnau (Hrsg), Handbuch Wirtschaftsstrafrecht (2015), C.F. Müller, 4 Auflage, ISBN: 978-3-8114-6019-5.
Ambrosetti/Mezzetti/Ronco, Diritto penale dell’impresa (2016). Quarta edizione. Isbn: 9788808920966.
Confindustria, Linee Guida per la costruzione dei modelli di organizzazione gestione e controllo ai sensi del D.Lgs 231/01, aktualisierte Version von 2021.
Deutscher Bundestag, Eine Übersicht zum Unternehmensstrafrecht in einzelnen Mitgliedstaaten der Europäischen Union (2017), Wissenschaftliche Dienste, Sachstand, WD 7 – 3000 – 070/17.
Kubiciel, Verbandsstrafe– Verfassungskonformität und Systemkompatibilität (2014), ZRP 2014.
Maiello, La natura (formalmente amministrativa, ma sostanzialmente penale) della responsabilità degli enti nel D.Lgs.N.231/2001: una truffa delle etichette davvero innocua? (2002) RTDPE.
Prudentino, Das italienische Compliance-Gesetz 231/2001: Europas strengstes ComplianceGesetz (2014). Beck Online.
Rogall, in: Karlsruher Kommentar zum OWiG, 4. Auflage (2014).
Ruggiero, Die Ausgleichseinziehung in der aktuellen italienischen Strafrechtsdogmatik, ZStW 128 (2016).
Staffler, Business Criminal Law, A Primer for Management and Economics (2021), Springer Gabler Verlag, ISBN: 978-3-658-34471-9.
Staffler, Italienische Vorgaben zur Compliance-Kultur, ecolex (2017).
Staffler, Das Spektrum italienischer Verbandssanktionen im Spiegel der Rechtsprechung (2017), ZfRV 2017/10.

*Docente presso BH – Banking & Insurance FH JOANNEUM (Bank- und Versicherungswirtschaft – BVW) – Graz, Styria

Note

_________________________________________________

1 http://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=2001-06- 19&atto.codiceRedazionale=001G0293&currentPage=1 (17.8.22).
2 Relazioni ministeriali del d.lgs. 231/01, n. 1.1.
3 Staffler, Italienische Vorgaben zur Compliance-Kultur (2017), ecolex 2017, 406 oppure Maiello, La natura (formalmente amministrativa, ma sostanzialmente penale) della responsabilità degli enti nel D.Lgs.N.231/2001: una truffa delle etichette davvero innocua? RTDPE 2002, 879.
4 Rogall, Karlsruher Kommentar zum OWiG, 4. Aufl. 2014, § 30, Rn. 268.

5 Vgl Deutscher Bundestag, Eine Übersicht zum Unternehmensstrafrecht in einzelnen Mitgliedstaaten der Europäischen Union (2017), Wissenschaftliche Dienste, Sachstand, WD 7 – 3000 – 070/17, 9.
6 GIP Milano 971/2020, articolo del il Sole 24 ore del 24.9.2020.

7 Cassazione VI 18.3.2009, Nr 14973 CP 2009, 4833.
8 Cassazione, sezioni unite, 24.4.2014, Nr 38343 CP 2015, 426.

9 Vgl Ambrosetti et al. (2016), Diritto penale dell’impresa, quinta edizione, 79.
10 Vgl Prudentino, Das italienische Compliance-Gesetz 231/2001: Europas strengstes Compliance-Gesetz, CCZ 2014,35.

11 Achenbach in Achenbach/Ransiek/Rönnau (Hrsg), Handbuch Wirtschaftsstrafrecht (2015) Kap 1 Rz 9; Kubiciel, Verbandsstrafe– Verfassungskonformität und Systemkompatibilität, ZRP 2014, 133 (136).
12 Staffler, Das Spektrum italienischer Verbandssanktionen im Spiegel der Rechtsprechung, ZfRV 2017/10, 84.

13 Staffler, Business Criminal Law, A Primer for Management and Economics, 408ff.
14 Art. 2106 CC

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.