I. Amplificazione e spersonalizzazione del rischio in relazione alle dimensioni d’impresa

Siamo tradizionalmente abituati a percepire il rischio d’impresa come il rischio che corre l’imprenditore nel momento in cui decide di intraprendere una determinata attività. Un rischio, dunque, meramente economico.

Ma l’imprenditore è ovviamente esposto a rischi di ben altra natura, tra cui il rischio da reato, di cui spesso non si rende conto.

E questo perché nella nostra realtà imprenditoriale, ancora legata ad un capitalismo di tipo “padronale”, dove il titolare dell’azienda che si percepisce come onesto e ritiene di agire onestamente, fatica a comprendere il senso di tutta una serie di adempimenti di carattere formale che ne ingessano l’operato come, ad esempio, quelli legati alla normativa in materia di responsabilità degli enti da reato, di cui al D.Lgs. 231/2001.

Ed in effetti, in una concezione “antropomorfa” di impresa, il rischio e la responsabilità penale, anche se l’impresa è strutturata in forma di società di capitali, sono comunque circoscritti alla persona dell’imprenditore e sono legati a scelte compiute dall’imprenditore.

È difficile riconoscere nell’azienda padronale un’”anima” distinta da quella dei soggetti (rectius dal soggetto) che la compongono. Si tratta di un discorso di carattere esclusivamente culturale, che poco ha a che vedere con l’aspetto normativo e, soprattutto, con la minaccia penale.

Quando, invece, si passa all’impresa plurisoggettiva, con numerosi dipendenti, il rischio si spersonalizza e questo destabilizza un sistema consolidato da tempo. Le responsabilità penali si moltiplicano e coinvolgono una pletora di soggetti tra cui gli amministratori, delegati e senza deleghe, i sindaci i revisori, etc.

Questo processo di spersonalizzazione fa sì che la percezione del rischio diventi ancora più attenuata, il rischio lo accettano tutti, sebbene in maniera poco consapevole e limitare o riconoscere la responsabilità in capo al legale rappresentante della società rappresenta un mero palliativo legato alla necessità di punire comunque una persona “in carne ed ossa” che spesso funge da vero e proprio capro espiatorio.

Un po’ come accade in materia di reati tributari, dove il legale rappresentante talvolta si limita a sottoscrivere la dichiarazione predisposta dal proprio consulente, magari risolvendo in maniera non condivisa dal Fisco complicate questioni interpretative, oppure come accade in materia di sicurezza sul lavoro, dove l’art. 16 del D.Lgs. 81/2008 stabilisce che la valutazione del rischio non è delegabile, quando si sa benissimo che si tratta di una valutazione di carattere tecnico per la quale il datore di lavoro deve necessariamente rivolgersi a chi ha specifiche competenze.

Così, per superare tali difficoltà, nei paesi anglosassoni prima e nell’Europa continentale poi, si è rotto l’argine rappresentato dal principio societas delinquere non potest e si è definitivamente riconosciuta una responsabilità, di natura incerta, anche dell’ente. La società viene punita proprio perché rappresenta il centro d’interesse, il soggetto collettivo che rappresenta la somma di tutti gli individui che la compongono.

Ma chi fa impresa, a qualsiasi livello, deve partire dal presupposto che il rischio è una categoria tipica della società moderna. E lo stesso dicasi per tutti i soggetti che sono chiamati a controllare al correttezza dell’operato dell’imprenditori.

D’obbligo il riferimento a Beck che nel 1986 scriveva che “nella modernità avanzata la produzione sociale di ricchezza va sistematicamente di pari passo con la produzione di rischi”,¹ interrogandosi sulla possibilità di impedire, minimizzare e canalizzare i rischi ed i pericoli legati al processo di modernizzazione, contenendoli nell’ambito di ciò che viene definito come “tollerabile” dal punto di vista ecologico, medico, psicologico e sociale.

Il rischio, secondo Beck, è dunque funzionale alla produzione “sociale” di ricchezza e non alla ricchezza fine a sé stessa. Il rischio della società moderna è accettabile solamente se i benefici che la società ne può trarre siano maggiori rispetto ai danni che ne potrebbero derivare. È il concetto penalistico del c.d. “rischio consentito”, del rischio, cioè, legato allo svolgimento di attività intrinsecamente pericolose ma socialmente utili come, ad esempio, la circolazione stradale.

Trasferendo il discorso di Beck all’attività di impresa, non v’è dubbio che spesso i rischi assunti dall’imprenditore siano relativi a conseguenze sconosciute. A ciò si aggiunga che, a differenza di tutte le epoche precedenti, le situazioni di pericolo nella società moderna non sono legate esclusivamente a fattori esterni, ma i rischi dipendono in gran parte da decisioni prese dall’uomo, sono prodotti industrialmente e vengono definiti come “politicamente riflessivi” (255). È l’attività umana, cioè, a creare il rischio, “i rischi sono il riflesso delle azioni ed omissioni umane”.

A prescindere dalle considerazioni di Beck, sulle quali inevitabilmente si tornerà, il rischio e la sua gestione rappresentano sicuramente degli elementi fondamentali della responsabilità penale e, più in particolare, della responsabilità per colpa, anzi, ne rappresentano il fondamento. Negligenza, imprudenza ed imperizia, richiamate, come noto, dall’art. 43 c.p. quale essenza della responsabilità colposa, hanno tutte a che fare con la corretta gestione del rischio.

Come anche sottolineato dalla dottrina aziendalistica,² fare impresa è sinonimo di rischio.

Per tale ragione, la dottrina appena citata osserva come nelle scelte strategiche dell’impresa e nei processi chiave che ne guidano l’attività, sia fondamentale includere in modo esplicito la valutazione e la gestione del rischio. Nel momento stesso in cui decide di fare impresa, e ancora prima di iniziare materialmente l’attività, l’imprenditore deve valutare attentamente il rischio connesso all’attività che sta per intraprendere e gli strumenti da adottare per gestirlo.

Proprio perché dalla cattiva gestione del rischio potrebbero derivare danni che vanno ad impattare anche sul risultato economico d’impresa e, addirittura, sulla sua stessa sopravvivenza, la definizione del profilo del rischio non può non rappresentare uno dei pilastri delle scelte compiute nell’ambito del sistema di governo societario (111). È in questo ambito che, come vedremo più avanti, si collocano e si muovono anche le scelte dell’impresa legate all’adozione dei modelli organizzativi previsti dal D.Lgs. 231/2001 in materia di responsabilità degli enti da reato.³ Come infatti sottolineato nel noto lavoro di Sgubbi,⁴ oltre al rischio come uno dei fondamenti della responsabilità penale, è lo stesso reato ad essere diventato un “rischio sociale” (7). Questo perché, come rilevato da Sgubbi, la responsabilità penale si presenta oggi come un dato incerto, se non addirittura di mera sorte, e perché “la configurazione della responsabilità penale dipende con sempre maggiore frequenza da fattori diversi dalla commissione colpevole di una condotta lesiva”. Il reato cioè, secondo Sgubbi, pur conservando la parvenza di essere la conseguenza di una libera scelta del soggetto, si va progressivamente fondando su fattori che sono in realtà indipendenti dalle scelte compiute dall’individuo e che non sempre l’individuo è in grado di controllare o di dominare.

La commissione di un reato rappresenterebbe, dunque, a ben vedere, una sorta di rischio che potremmo definire di “secondo grado”, strettamente legato al rischio primario, ma non sempre dominabile, come peraltro già previsto da Beck quando parla, come ricordato in precedenza, di “conseguenze sconosciute e non volute” che “assurgono al ruolo di forza dominante nella storia e nella società”.

Oltre, infatti, al compimento di attività che possiamo ritenere intrinsecamente rischiose vi è anche il rischio della commissione di reati e di incappare in responsabilità di carattere penale. Il reato rappresenta la “concretizzazione del rischio”.

Rischio, quello della commissione di reati che, però, come detto in precedenza, non sempre è dominabile. E ciò, nel diritto penale dell’economia, è in gran parte dovuto sia alla peculiarità delle fattispecie incriminatrici e sia dall’enorme differenza tra le categorie tradizionali del diritto penale e le categorie del diritto penale economico, soprattutto come ricostruite dalla giurisprudenza in materia (Lanzi, Aldrovandi).

Tant’è che lo stesso Sgubbi definisce il rischio di commissione del reato come un rischio “sociale”, proprio perché tale rischio dipende da fattori che attengono principalmente alla collocazione economico-sociale dell’individuo ed alle attività da questo svolte. Si tratta, dunque, di un “rischio da situazione”, parente prossimo, se non gemello siamese, della responsabilità oggettiva, che è inquadrabile in un certo contesto sociale.

La spiegazione di un simile fenomeno, secondo Sgubbi, va ricercata nell’interventismo dirigistico dello Stato su determinati beni giuridici, così che le dinamiche delle azioni umane intorno ai beni giuridici vengono disciplinate amministrativamente dallo Stato interventista. E dove ai tradizionali postulati di libertà e rispetto dei diritti si affianca la variabile del rispetto delle prescrizioni normative. Tra le tradizionali aree della liceità e della illiceità se ne collocherebbe, dunque, una intermedia rappresentata dall’area dalla liceità condizionata al rispetto delle prescrizioni dettate dall’ordinamento. In quest’area sono collocate attività del tutto lecite, la cui liceità è però oggi condizionata al rispetto delle prescrizioni previste dall’ordinamento.

In realtà, la lettura della citata dottrina non convince fino in fondo e sembra essere più il frutto di una concezione eccessivamente liberistica, mentre l’intervento dello Stato trova una sua giustificazione nella nostra Carta Costituzionale. A differenza di quanto sostenuto da Sgubbi, infatti, il lamentato “interventismo” dello Stato rappresenta l’inevitabile conseguenza dello Stato sociale che, oltre a creare nuovi beni giuridici sulla base del principio di solidarietà di cui è, peraltro, pervasa la nostra Costituzione, disciplina anche attività, come ad esempio l’esercizio dell’attività d’impresa, prima lasciate all’autonomia dei privati.

II. Dalla corporate governance alla corporate compliance

Si è accennato ai concetti di corporate governance e di corporate compliance.

Partiamo, allora, da una preliminare definizione di tali concetti, per quanto parziale e grossolana essa possa essere.

Che cosa si intende, infatti, per corporate governance, espressione oramai di dominio comune, per lo meno nel linguaggio dell’azienda? Secondo una delle tante definizioni datene dalla dottrina, “la governance rappresenta l’insieme delle regole che disciplinano la gestione dell’impresa”.⁵

La definizione che precede risulta, però, indubbiamente parziale e riduttiva. Non c’è dubbio che il concetto di corporate governance faccia richiamo anche ad un astratto corpo normativo, ma limitarlo ad un insieme di regole ne riduce la complessità e, di conseguenza, la comprensione, con ripercussioni anche sulla tematica delle responsabilità penali. Come sottolineato correttamente da altra dottrina (Bonelli), l’approccio non è solo normativo.

Non è pensabile ipotizzare regole di corretta compliance che provengano esclusivamente dal mondo del diritto e non anche dal mondo dell’economia e delle scienze aziendali.

Oltre all’insieme di regole, il concetto di corporate governance attiene infatti alla struttura, all’organizzazione e al comportamento dei soggetti chiamati ad osservare e a far osservare le regole medesime. Se non si comprende questo, si fa fatica a comprendere a fondo le problematiche legate alla corporate governance. Il concetto di corporate governance non è, infatti, un concetto statico, ma proprio perché attiene allo svolgimento di un’attività dinamica, quale appunto quella di governance, è per sua natura dinamico. Una simile constatazione, che potrebbe sembrare scontata, in realtà non lo è affatto, dal momento che, come si vedrà, una delle criticità che viene segnalata dalla dottrina in materia di corporate compliance è la mancanza di una normativa primaria di riferimento ed un’ “amministrativizzazione” della materia, demandata per lo più a fonti di natura autoregolamentare. Ma la natura dinamica dell’attività di corporate compliance, che assume caratteristiche diverse a seconda della diversa realtà dove viene declinata, non può che essere demandata a fonti regolamentari. Altrimenti sarebbe un po’ come pretendere che le linee guida in materia di protocolli sanitari fossero approvate per legge e non, invece, dalla comunità scientifica di riferimento, sulla base dell’evoluzione della scienza medica e del caso concreto.

Inoltre, quando si parla di compliance non ci si riferisce solamente al comportamento posto in essere da chi si adegui alle norme ed alle prescrizioni, ma anche alle azioni intraprese dall’organizzazione per assicurare che dette norme vengano rispettate (è l’organizzazione che è compliant, non il singolo individuo). Se gli standard vengono, dunque, posti dall’esterno, i mezzi e gli strumenti per conformarsi a tali standard non possono che essere interni, frutto di scelte autonome.

Il discorso evidentemente si complica quando l’attività viene posta in essere non da singoli individui, ma un’organizzazione complessa. E ciò è quanto accade anche in materia di responsabilità degli enti da reato ex D.Lgs. 231/2001, dove il legislatore pone gli obiettivi da raggiungersi, le associazioni di categoria pongono le linee guida e gli standard cui conformarsi, ma poi il sistema di regole operative ed organizzative non può che essere scritto all’interno dei singoli enti.

Anche se gli standard e le norme cui conformarsi sono posti da terzi soggetti, è dunque l’organizzazione l’unico soggetto a possedere le conoscenze e le capacità necessarie per raggiungere gli obiettivi di compliance richiesti, più di qualsiasi altro agente esterno. Proprio per tale ragione, i sistemi di controllo esterni, di carattere istituzionale, perdono in parte il controllo della situazione e cedono necessariamente il passo al sistema di controllo interno.

Contrariamente a quanto sostenuto dalla dottrina statunitense (Miller), a parere di chi scrive il trasferimento del potere regolamentare alle organizzazioni private è dovuto non tanto al problema della tassatività e dell’autonomia, quanto al fatto che le Corti non possiedono né le competenze né le conoscenze necessarie per poter determinare un sistema di regole per un’efficace attività di compliance.

La realtà italiana è comunque diversa da quella statunitense. Purtroppo da noi, a differenza di quanto accade negli Stati Uniti, le Corti, ma soprattutto i consulenti da queste nominati, hanno spesso la presunzione di potersi sostituire all’imprenditore nelle scelte di corretta governance e compliance, ed il limite della Business Judgment Rule opera raramente.

Come, però, sottolineato da altra dottrina (Bonelli, 10) è importante comprendere che è il diritto che deve essere al servizio delle organizzazioni e non viceversa.⁶ A ciò si aggiunga che, come sottolineato ancora dallo stesso Bonelli (21), il campo delle regole è quasi interamente sottratto al metodo empirico e ciò è dovuto, da una parte, all’interesse della classe politica ad enunciare regole ma non a verificarne l’efficacia, e dall’altra, aggiungeremmo noi, all’indifferenza delle Corti a valutare la sussistenza del nesso di causalità tra la violazione delle regole e l’evento lesivo. Da questo circolo vizioso non se ne viene fuori (40), così le regole restano in ostaggio di giudizi ideologici, piuttosto che pratici, con i risultati sotto gli occhi di tutti.

Quello della corporate governance è uno dei campi dove gli effetti delle regole sembrano più lontani dai fini proposti e ciò trova conferma nel fatto che tutti i maggiori scandali finanziari che si sono verificati negli ultimi anni sono avvenuti nel rispetto (per lo meno a livello formale) delle regole che avrebbero dovuto prevederli.

Il discorso relativo alla disciplina della corporate governance e corporate compliance, come già anticipato, riguarda direttamente anche l’ambito della responsabilità penale e richiede un confronto che sia privo di pregiudizi dogmatici con alcuni principi fondamentali del diritto penale, quali, ad esempio, i principi di riserva di legge e di tassatività o sufficiente determinatezza della fattispecie, ma anche e soprattutto con il principio di personalità della responsabilità penale.

Questo perché la gestione del rischio d’impresa, sia a livello normativo che organizzativo, spetta a soggetti che, a livello penalistico, ricoprono posizioni di garanzia a protezione dei beni giuridici esposti al rischio.

Così, ad esempio, sempre più di frequente, nell’ambito della c.d. “criminalità d’impresa”, si va a ritroso nel ricercare le cause che abbiano potuto anche solo favorire la commissione di un reato, e ciò in base ad un’analisi, effettuata inevitabilmente ex post, che spesso coinvolge a titolo di responsabilità tutti gli organismi di controllo. E tra le diverse cause che possono aver favorito la commissione di un reato si rinviene proprio la violazione delle regole di corporate governance, l’inadeguatezza delle stesse, ovvero il mancato controllo del rispetto di tali regole.

Due sono allora i problemi principali che si pongono per il penalista: in primo luogo, come detto in precedenza, le regole di corporate governance non sono contenute in uno specifico corpo normativo e spesso sono di fonte regolamentare, caratterizzate da una scarsa tassatività; in secondo luogo, non necessariamente la violazione delle regole di governance comporta un’effettiva incidenza causale sul verificarsi del reato o dell’evento lesivo. Capita, però, non di rado di imbattersi in contestazioni penali in cui ci si limita generalmente a riscontrare l’inadeguatezza del sistema di governance, soprattutto, come detto, quando si allarga la responsabilità agli organi di controllo a titolo di responsabilità omissiva ex art. 40 cpv. c.p., senza verificare in concreto quali attività di corporate governance avrebbero potuto impedire l’evento e come, concretamente, tale evento si sarebbe potuto impedire.

Così ad esempio, con il Codice della crisi d’impresa si è modificato anche l’art. 2086 c.c., a cui è stato aggiunto un secondo comma con il quale si prevede che “l'imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale…”, adeguatezza degli assetti sulla quale, come noto, deve vigilare il collegio sindacale. Il problema è che quando si verifica un evento lesivo che sia anche elemento costitutivo di una fattispecie di reato, e si accerti l’inadeguatezza degli assetti organizzativi, amministrativi e contabili, ovvero si accerti la mancata vigilanza sulla correttezza di tali assetti, si da per scontata la sussistenza del nesso di causalità tra condotta ed evento, senza approfondire il giudizio controfattuale.

Il discorso diventa ancor più complesso quando si parla di responsabilità degli enti da reato ai sensi del D.Lgs. 231/2001, dove la regola del “post hoc propter hoc” rappresenta una sorta di “regola aurea”.

A quanto precede si aggiunga che, come appena ricordato, oltre alle regole di corporate governance, il penalista deve tenere in considerazione anche i comportamenti che concretamente caratterizzano l’attività di governance, che ai fini della responsabilità penale hanno il medesimo rilievo delle stesse regole. Dall’analisi circa la rilevanza penale dei comportamenti tenuti all’interno delle corporate non può infatti rimanere esclusa quella che è la prassi consolidata, che va a formare un corpo normativo non scritto, ma che ha altrettanta importanza rispetto alle regole formalizzate. Al contrario di ciò, il giudice (e anche il consulente) conosce solamente quello che potremmo definire come “il manuale di istruzioni”, non la realtà che è chiamato a giudicare. La magistratura penale sembra spesso non comprendere le dinamiche aziendali, bollando sbrigativamente e semplicisticamente come dolosi alcuni comportamenti conformi a prassi ben consolidate e sulla cui potenziale illiceità nessuno si sofferma a sufficienza.

Il problema, a ben vedere, non riguarda però solamente i giudici o i consulenti. Anche la dottrina penalistica sconta, infatti, un certo ritardo rispetto alle sollecitazioni della prassi. Anzi, le carenze culturali della magistratura sono dovute proprio alle mancanze della dottrina.

Una delle ragioni del ritardo del mondo del diritto nella comprensione delle tematiche legate alla corporate compliance viene individuata ed analizzata da Guido Rossi il quale, nell’introduzione al volume “La corporate compliance: una nuova frontiera per il diritto?”,⁷ commenta come “la compliance non era certo uno degli argomenti centrali della ricerca giuridica”. La “funzione” di compliance costituisce, infatti, oggetto di attenzione quasi esclusiva da parte degli aziendalisti, nell’ambito del sistema dei controlli interni. Si ritiene, cioè, che la corporate compliance sia un aspetto meramente tecnico/organizzativo, che nulla abbia a che vedere con le scienze giuridiche o che, comunque, sia per queste di scarso interesse. È un fatto che attiene al controllo, alla gestione del rischio d’impresa inteso, però, come mero rischio imprenditoriale, legato essenzialmente alla capacità di produrre profitto e di raggiungere gli obiettivi prefissatisi.

Credo che ciò sia dovuto principalmente al fatto che gli studiosi del diritto sono più attratti dal dato normativo che non dai comportamenti. E come già anticipato, il dato normativo legato alle regole di corporate compliance è rappresentato principalmente da norma di natura regolamentare o autoregolamentare, ritenute meno “nobili” rispetto alle fonti primarie. E questa è anche la ragione per la quale la dottrina penalistica, anch’essa attratta più dalla norma che dai comportamenti, in materia di corporate compliance lamenta, pressoché all’unisono, un deficit di tassatività. Deficit che viene di volta in volta colmato dal giudice, o meglio, dal consulente, sul quale il giudice tende ad appiattirsi, più sulla base della propria (spesso scarsa) esperienza che non delle regole aziendalistiche.

Anche Sgubbi, nel lavoro citato in precedenza (51), sottolinea come in genere il reato come rischio sociale si accompagni alla crisi della riserva di legge e questo perché le fattispecie incriminatrici diventano sempre di più delle “norme in bianco”, dove la norma penale generale ed astratta viene sostituita da prescrizioni concrete di “stampo organizzativo” e “tecnico-burocratico”, con un referente che, secondo l’Autore, non sarebbe sociale-materiale, bensì normativo. In un simile quadro normativo, sottolinea Sgubbi come cresca il livello dell’alea penale, con il rischio di imbattersi in un funzionario o in un magistrato più o meno rigoroso o esigente.

Quanto sostenuto dalla citata dottrina, pur nella sua autorevolezza, non convince e rappresenta una suggestione che non sembra cogliere pienamente nel segno. Perché, a ben vedere, sarebbe un po’ come riconoscere che tutti i reati colposi, laddove si fa riferimento alla prudenza, alla perizia ed alla diligenza, ovvero ai regolamenti, ordini e discipline, delegando, dunque, la concretizzazione dell’illecito a fonti extrapenali anche di natura regolamentare, siano delle norme penali in bianco, ma sappiamo benissimo che non è così.

Come, infatti, correttamente sottolineato da altra dottrina, “è difficile immaginare un campo in cui teoria e realtà siano rimaste così distanti”, come accade per la corporate governance.⁸ Ciò perché la materia sembrerebbe essere stata “colonizzata” dagli studi economici, mentre i giuristi che si occupano di corporate governance ne affrontano prevalentemente i problemi di interpretazione, applicazione e coordinamento con il resto del diritto d’impresa. Sottolinea in proposito Bonelli come la funzione degli studi giuridici sia quella di dare alle regole un significato e non un senso e che i giuristi si interrogano sul significato delle regole e non sulla loro funzione. I giuristi, secondo Bonelli, sembrano, cioè, incapaci di “pensare fuori dall’ordinamento” (6).

Ma questo atteggiamento è il frutto di una visione eccessivamente formalistica del compito del giurista, visto esclusivamente come esegeta del dato normativo e non invece come interprete della realtà. Al contrario, il significato delle norme non può prescindere dal senso e dal contesto che danno significato alla regola. Così come il significato non può essere scisso dalla funzione che la regola deve spiegare nella società (pp. 5 e ss.). D’altra parte è lo stesso Bonelli a sottolineare più avanti come “l’analisi dei fenomeni dipende dai linguaggi usati per descriverli. La conoscenza della realtà non è dunque meno convenzionale di quanto lo siano l’etica o la verità”. Ed il linguaggio non può essere conosciuto senza il senso, il contesto e la funzione. Anzi, sono il senso, il contesto e la funzione a dare un significato al linguaggio. Se, dunque, senso, contesto e funzione si ignorano, ci si approccia alla materia con una grammatica sbagliata.

Anche lo stesso Guido Rossi, più volte citato, osserva come la scarsa attenzione riservata dalla dottrina giuridica alla materia della compliance sia dovuta prevalentemente alla mancanza di una normativa generale di riferimento, ovvero alla mancanza di un corpo normativo di riferimento ben delineato ed al fatto che il diritto societario abbia finora trascurato un fenomeno che, soprattutto nelle società di maggiori dimensioni, si sta imponendo da tempo, configurandone i comportamenti e, di conseguenza, le responsabilità e le sanzioni.

In realtà, il disinteresse è legato ad una visione statica della governance e della compliance.

Non esiste, cioè, una normativa generale in materia di compliance, ma esistono normative specifiche, spesso di fonte secondaria se non addirittura di natura regolamentare o autoregolamentare, che disciplinano l’attività di compliance nei diversi settori dove la stessa viene declinata, così come non esiste una normativa generale che determini in maniera univoca le responsabilità derivanti da una compliance inadeguata. È, dunque, la carenza normativa ad aver determinato la scarsa attenzione da parte dei giuristi per la materia, soprattutto da parte degli studiosi di diritto penale, tradizionalmente più attratti dal dato normativo che non da quello comportamentale. Questo accade perché lo studio del diritto si riduce al solo studio delle norme e non anche allo studio dei comportamenti dei soggetti che operano in un determinato ordinamento. Come se il diritto non appartenesse alla sfera delle scienze sociali, ma a quella delle scienze sperimentali, verificabili empiricamente in laboratorio.

Ciò fa sì che, come accennato in precedenza, il giurista in generale, ed il penalista di riflesso, abbiano purtroppo una limitatissima conoscenza e comprensione del fenomeno. Questo spiega, almeno in parte, la ragione per la quale nei processi penali dove viene contestata l’inadeguatezza della corporate governance e della corporate compliance, la determinazione delle responsabilità sia spesso demandata al perito, o comunque ci si appiattisca sulle risultanze della perizia. Il giudice, però, in tal modo abdica al suo ruolo naturale di peritus peritorum, demandando ad altri il difficile compito di esprimersi non tanto e non solo su un fatto tecnico, ma addirittura sulla responsabilità penale, in un ambito in cui il giudice non riesce a muoversi con la necessaria disinvoltura e competenza.

In tal modo, il processo non è più un confronto tra accusa e difesa, sulla base di argomentazioni di carattere giuridico-penale, risolto da un giudice terzo a sua volta con argomentazioni di carattere giuridico-penale, ma uno scontro tra consulenti. Il giudice non è culturalmente preparato per valutare la bontà o meno delle conclusioni raggiunte dal perito.

Ma questo, apparentemente, non è un problema che riguarda esclusivamente il nostro ordinamento. Ed infatti, come sottolineato anche da una parte della dottrina anglosassone, “la probabilità del verificarsi di comportamenti di moral hazard, inoltre, aumenta in maniera significativa quando si considera l’incapacità dei giudici e prosecutors di valutare l’effettività delle iniziative in tema di governance, gestione dei rischi e compliance”.⁹

Il discorso sulla corporate compliance tocca, dunque, tutti i temi tradizionali del diritto penale dell’economia, dal problema dell’imputazione (Pedrazzi), al problema del dolo e della colpa e, ancora prima, al problema della tassatività delle fattispecie incriminatrici, dei principi di legalità e di riserva di legge.

A quanto precede devono però aggiungersi delle ulteriori considerazioni. Occorre riflettere attentamente sul fatto che il diritto penale, a differenza delle altre branche del diritto, è essenzialmente, se non esclusivamente, un diritto della responsabilità. Il compito del sistema penale, sostanziale e processuale, è infatti quello di ricondurre una sanzione a determinati comportamenti, una volta accertata la responsabilità del soggetto che li abbia posti in essere, in base ai requisiti stabiliti dalla legge e con le forme e i modi previsti dal diritto processuale. “La missione essenziale del diritto penale”, scrive la dottrina penalistica, “è prevenire e reprimere fatti socialmente dannosi, qualificati come reati, e imputare le responsabilità per la loro commissione”.¹⁰ Proprio per questo “la scienza del diritto penale è, quindi, anche scienza dell’attribuzione di responsabilità [...] E come ogni altra scienza, punta alla soluzione di problemi”.

Il diritto commerciale è, invece, un diritto di organizzazione. Sebbene ad esso non sia estranea l’esperienza della sanzione, è però un diritto che non nasce per vietare comportanti illeciti, ma per stabilire le regole che disciplinano lo svolgimento di determinate attività, regole che, proprio perché non vanno ad incidere sulla libertà personale, non sono sorrette dalle garanzie tipiche del diritto penale, e che vengono integrate da norme di fonte regolamentare e dai comportamenti consolidati. Sono regole che disciplinano un’attività lecita, non un’attività illecita ma socialmente utile. L’accertamento delle responsabilità è relativamente più semplice, perché avviene con le forme e le categorie del diritto civile, in ottica prevalentemente risarcitoria.

Questo vuol dire che, inevitabilmente, il diritto penale ed il diritto commerciale hanno finalità, categorie ed un linguaggio profondamente diversi. E spesso la diversità di linguaggio porta a delle gravi incomprensioni.

Non a caso il problema del linguaggio è stato indicato da Bonelli, nel lavoro citato in precedenza, come uno dei principali problemi legati alla corporate governance.

Proprio per le ragioni appena accennate non è semplice comprendere quando dalla violazione di norme di organizzazione possano derivare delle responsabilità penali.

Abbiamo, dunque, regole di organizzazione che si incontrano con regole punitive, di attribuzione della responsabilità, integrandole. Ma rimangono norme, quelle organizzative e quelle punitive, che, evidentemente, svolgono una funzione diversa e, dunque, non è automatico che la violazione delle une implichi una responsabilità ai sensi delle altre. Non è automatico, cioè, che la violazione di una regola organizzativa comporti necessariamente una qualche forma di responsabilità, anche a fronte del verificarsi di un evento lesivo.

Emblematico quanto accade, ad esempio, in tema di responsabilità degli organi di controllo o, ancor di più, in tema di responsabilità del consiglio di amministrazione, dove, invece, dall’analisi della giurisprudenza in materia emerge il richiamato automatismo. Automatismo che, oltretutto, rischia di svilire completamente anche l’elemento psicologico del reato, introducendo delle forme surrettizie di dolus in re ipsa, come noto, vietato dalla nostra costituzione.

III. Compliance e interazioni tra responsabilità civile e penale

Prima di procedere in maniera più puntuale nell’analisi delle implicazioni penali legate a scelte errate in materia di compliance, è necessario soffermarsi, seppur brevemente, sulla responsabilità civile. E questo perché, come spesso accade, è dal riconoscimento della responsabilità civile che, in materia di diritto penale dell’economia, prende le mosse la responsabilità penale. È stato così, ad esempio, per la responsabilità degli amministratori senza deleghe e dei sindaci.

Così, parte della dottrina si è interrogata sul legame esistente tra la funzione di compliance nelle società e le responsabilità civilistiche dei componenti degli organi di amministrazione e di controllo.¹¹ Gli Autori richiamano la disposizione di cui all’art. 2392 c.c., ai sensi della quale, come noto, gli amministratori devono adempiere ai doveri loro imposti dalla legge e dallo statuto, con la diligenza richiesta dalla natura dell’incarico e dalle loro specifiche competenze. Il comma II dell’art. 2392 rimanda, poi, alla violazione dei compiti previsti dall’art. 2381 c.c., III comma, relativi alla valutazione dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società, nonché all’esame dei piani industriali, strategici e finanziari.

Le riflessioni di Fulco e Ventoruzzo appaiono di indubbio interesse anche dal punto di vista del diritto penale. Ai fini della nostra indagine ci si domanda, infatti, quando dalle scelte imprenditoriali compiute dagli amministratori, al di là delle possibili responsabilità di natura civilistica, possano derivare delle responsabilità penali, posto che non appare consentito, secondo il consolidato principio della business judgement rule, a meno che le stesse non risultino manifestamente irragionevoli, oppure non risultino precedute da un’adeguata istruttoria.

La disposizione di cui all’art. 2392 c.c. sembrerebbe, dunque, rappresentare il cuore della nostra ricerca. La c.d. corporate compliance rappresenta, infatti, come già accennato in precedenza, una delle espressioni dell’adeguatezza dell’assetto organizzativo della società.

Ci si chiede, allora, quali possano essere le conseguenze penali di assetti organizzativi inadeguati che non riescano ad intercettare gli indicatori della crisi, determinando fatti pregiudizievoli per la società. E la stessa adeguatezza dell’assetto organizzativo va coniugata con il principio a cui si è appena fatto riferimento della business judgement rule.

Il diritto dell’organizzazione rappresentato dal diritto commerciale ed il diritto della responsabilità e della repressione rappresentato dal diritto penale si incontrano, dunque, su un terreno comune piuttosto ampio, delimitato da una parte dal più volte richiamato principio della business judgement rule e dall’altra da tutto ciò che non rientra nel perimetro tracciato dalle fattispecie di reato.

Inutile dire come si tratti di confini elastici ed indeterminati. E mentre ciò può non sorprendere per il limite rappresentato dalla business judgement rule, regola elastica e mutevole per definizione, occorre fari i conti anche con un’inaspettata indeterminatezza non tanto della formulazione delle fattispecie di reato, quanto della loro interpretazione ed applicazione. La dottrina penalistica lamenta, infatti, da più parti la tendenza apparentemente inarrestabile della giurisprudenza, anche di legittimità, ad ampliare a dismisura la portata applicativa delle fattispecie di reato, soprattutto nel diritto penale dell’economia. Il veicolo principale di una simile tendenza è tradizionalmente rappresentato dall’abuso della figura del dolo eventuale, vera e propria pietra filosofale del sistema penale, in grado di trasformare miracolosamente la colpa in dolo.

Non molto diverso il discorso relativo alla responsabilità degli organi di controllo. Per il collegio sindacale si fa riferimento all’art. 2407 c.c. che, a sua volta, richiama l’art. 2403 c.c., il quale stabilisce che il collegio sindacale vigila sull’osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo corretto funzionamento.

Le responsabilità penali del collegio sindacale, a parte le ipotesi statisticamente meno frequenti di concorso diretto del sindaco nel reato ai sensi degli artt. 110 e ss. c.p., sono dunque essenzialmente legate all’omesso controllo, tanto del mancato rispetto dei principi di corretta amministrazione, quanto sull’adeguatezza dell’assetto organizzativo della società e del suo funzionamento.

Ci si chiede, dunque, se e quando un adeguato assetto organizzativo debba prevedere anche una funzione di compliance volta a prevenire il rischio di violazione della normativa di fonte primaria e di fonte regolamentare e se dalla mancata adozione di una funzione di compliance adeguata possano derivare delle responsabilità di carattere penale.

La domanda ulteriore è se il controllo debba poi riguardare anche la corretta composizione ed il corretto funzionamento in concreto della funzione di compliance, una volta che sia stata istituita. Se, cioè, gli organi di controllo abbiano degli obblighi di carattere meramente formale o anche sostanziale.

Se così fosse, il problema si sposterebbe, dunque, sulla difficoltà di individuare dei principi univoci per una corretta composizione della funzione di compliance e per il suo corretto funzionamento. È solo nei settori regolamentati, infatti, che sono presenti una definizione ed una disciplina della funzione di compliance, peraltro solo parziali.

Ad oggi, gli unici settori per i quali il legislatore ha previsto un obbligo in tal senso sono quello bancario e assicurativo.

Ancora una volta, dunque, si rimette la palla alle aziende e all’autoregolamentazione.

Che cosa accade, però, per tutte quelle società che non operano nei settori assicurativo o bancario e che, dunque, non hanno una normativa di riferimento? Dalla mancata previsione normativa dell’obbligo di istituire una funzione di compliance si può automaticamente sostenere che tale funzione non sia necessaria per una corretta gestione del rischio? Con quali conseguenze a livello di responsabilità? Come riconosciuto dagli stessi Fulco e Ventoruzzo (355), il discorso per le società non quotate è solo parzialmente diverso. Per queste società, infatti, l’attività di verifica di conformità dell’assetto organizzativo è richiamata dal III comma dell’art. 2381 c.c. È però il concretizzarsi del rischio che genera le responsabilità di natura penale. Il rischio allora va necessariamente valutato con attenzione, così come si deve evitare la verificazione della concretizzazione del rischio valutato, ed una simile valutazione deve essere fatta necessariamente.

Come detto in precedenza, le norme primarie, penali e non, si limitano ad indicare gli obiettivi che devono essere raggiunti o, al massimo, a dettare la cornice normativa nell’ambito della quale deve poi muoversi la normativa secondaria per il raggiungimento di tali obiettivi. Ebbene, uno degli strumenti per il raggiungimento di tali obiettivi è indubbiamente rappresentato da una corretta attività di corporate compliance, che non necessariamente passa per l’istituzione di una funzione di compliance, ma sicuramente l’istituzione di tale funzione aiuta. Ai fini della responsabilità penale occorrerà, infatti, verificare, ancora prima della sussistenza dell’elemento psicologico del reato, anche la sussistenza del nesso di causalità tra la mancata adozione della funzione di compliance, o comunque di una corretta attività di compliance, e l’evento lesivo verificatosi.

Il problema non è allora rappresentato tanto da una espressa previsione normativa che obblighi all’istituzione della funzione di compliance, quanto dalla mancanza di parametri normativi certi che consentano di valutare l’adeguatezza della struttura predisposta. In questi casi, infatti, gli unici parametri per valutare l’idoneità della struttura di compliance adottata sono quello della ragionevolezza e della proporzionalità.

IV. Supervisione reciproca nei controlli interni e riduzione dei rischi

La dottrina aziendalistica¹² ha approfondito il tema delle responsabilità legate al sistema di controllo interno. Ciò su cui occorre riflettere è il fatto che il sistema dei controlli interni, comunque esso sia articolato, risulta connaturato all’attività d’impresa, e questo per il semplice fatto che anche il rischio risulta essere connaturato a tale attività.

Da ciò ne deriva il corollario che l’impresa, per essere conforme al suo schema legale, deve necessariamente possedere un sistema di controlli interni la cui semplicità o complessità fungerà esclusivamente da misura di adeguatezza o di compliance del sistema stesso (17).

Al contrario di quanto accade nel nostro ordinamento, la cultura dei controlli interni è invece profondamente radicata negli ordinamenti di common law, in origine finalizzata essenzialmente alla prevenzione delle fraudes, culminata in Inghilterra nel Bubble Act del 1720 (21). A partire dagli anni novanta del secolo scorso ha, invece, avuto una grande fortuna la stagione dei codici di best practice, oltre all’emanazione di leggi dall’impronta decisamente repressiva (27). A dispetto di ciò, è evidente che non esiste un modello universale di buon governo societario (34). Lo si è già detto in precedenza, non possono esistere norme o parametri rigidi che indichino un modello di buon governo, anche in considerazione delle innumerevoli variabili del modo di fare impresa e di organizzare il business.

Certo è, come riconosciuto da Latella (41), che il “continuo ispessirsi di nuove funzionalità generi nuovi e più ingenti costi anche di outsourcing, incidendo in definitiva sulla rapidità e qualità delle decisioni gestionali e generando infine una sorta di mutazione dell’efficienza in “efficientismo”, e dell’efficacia in vero e proprio overshooting”.

Latella tocca il nocciolo della questione: il difficile equilibrio tra il sistema dei controlli interni e l’efficienza dell’attività d’impresa. Ma non solo, tocca anche il tema sensibile del proliferare dei controlli e dell’efficacia degli stessi. È quella che la dottrina statunitense (Power) ha definito come “audit society”, con tutte le conseguenze che ne derivano. In realtà, infatti, l’aumento degli strumenti di controllo non fa altro che allontanare l’imprenditore dalla fonte di pericolo, fornendo, allo stesso tempo, una sensazione di sicurezza ed impunità del tutto falsate. In tal modo l’imprenditore si sente scaricato dalle proprie responsabilità, avendo delegato a terzi soggetti, interni o esterni all’impresa, la valutazione e la corretta gestione del rischio. Ma non c’è dubbio che la valutazione del rischio spetti in primo luogo proprio all’imprenditore e, nelle società, al consiglio di amministrazione o ad uno dei consiglieri che poi riferirà in consiglio.

A ciò si aggiunga, proprio ribaltando la prospettiva del post hoc propter hoc, che l’apparato normativo e l’applicazione di esso non possono lasciare in chi fa impresa la percezione dell’inutilità di una corretta attività di compliance, pena un allontanamento dalla stessa compliance dovuto dalla sfiducia nella possibilità del raggiungimento degli obiettivi posti dall’ordinamento. Un esempio piuttosto significativo in tal senso è rappresentato dal sistema normativo introdotto con il D.Lgs. 231/2001 in materia di responsabilità degli enti da reato, su cui si tornerà in seguito. Se, infatti, nella prospettiva errata dal post hoc propter hoc, a fronte dalla commissione di un reato, qualsiasi attività posta in essere dall’imprenditore dovesse essere ritenuta non adeguata ad esonerare l’ente da responsabilità, così come invece previsto dagli artt. 6 e 7 D.Lgs. 231/2001, lo stesso imprenditore sarà disincentivato dal porre in essere qualsiasi iniziativa che, peraltro, finirebbe per generare costi inutili, in termini di tempo e denaro, a fronte di nessun vantaggio o di vantaggi incerti.

Il problema (rectius, uno dei problemi) sottolineato da Latella è rappresentato dalla difficoltà del giudice a muoversi in un reticolo normativo complesso (pp. 58 e ss.), trovandosi costretto a rivolgersi al perito. Spesso il giudice, e ancora prima il pubblico ministero, chiamati a valutare la congruità delle condotte poste in essere dall’imprenditore o dagli organi di controllo non sanno nulla dell’attività d’impresa, non conoscono la realtà che sono chiamati a giudicare, se non per quanto appreso dai libri o dai repertori di giurisprudenza. La conseguenza è che il sistema di valutazione rischia in questo modo di diventare del tutto autoreferenziale, dove i principi da applicare sono creati ed elaborati da soggetti che, come appena detto, hanno spesso una conoscenza approssimativa, oppure mediata, del fenomeno che sono chiamati a giudicare.

Così, la teoria dei segnali di allarme ne è un esempio particolarmente rappresentativo. È, infatti, una teoria, elaborata dalla giurisprudenza, volta essenzialmente a superare le difficoltà probatorie sull’elemento psicologico del reato, piuttosto che a fissare responsabilità secondo i principi fondamentali del diritto penale e che rischia di provare troppo, facendo in questo modo degradare la responsabilità dolosa in una forma mascherata di responsabilità oggettiva, per le finalità appena evidenziate.

Diventa, allora, un problema di grammatica, di linguaggio che, come detto, vede contrapposti un diritto di organizzazione ad un diritto di responsabilità.

Così come, infatti, accade in materia di responsabilità medica, il giudice non potrà far altro che affidarsi al sapere esperto dei consulenti e dei periti, rinunciando al suo ruolo naturale di peritus peritorum. In questo modo, però, le valutazioni e le categorie tecniche si sostituiscono a quelle giuridiche e, ciò che è ancora peggio, a quelle penalistiche. Inoltre, non esistono strumenti certi che permettano in maniera obiettiva di valutare l’effettiva competenza del perito e la scelta dello stesso è demandata alla totale discrezionalità del giudice, che però non ha gli strumenti adeguati per valutarne le conseguenze. Anzi, nella maggior parte dei casi non si procede nemmeno alla nomina di un perito, ritenendosi sufficiente l’operato del consulente del pubblico ministero, in quanto portatore di un interesse pubblico, con buona pace del processo di parti.

Non a caso la citata dottrina (Latella) sottolinea come gli interpreti debbano ricercare le risposte ai problemi di carattere interpretativo e applicativo muovendosi anche all’esterno della dimensione normativa. Viene finalmente riconosciuta da qualcuno l’importanza di superare il dato normativo, per recuperare la dimensione sociale del fenomeno che deve essere sottoposto a giudizio.

Da ciò ne deriva che l’interpretazione delle disposizioni e la giustificazione delle decisioni giudiziali deve basarsi anche su elementi che fanno parte della realtà economica sottostante. Questo perché non è possibile cogliere il significato della norma dalla sua semplice indagine semantica. La norma, infatti, non può che esprimersi ricorrendo al linguaggio, che è una rappresentazione simbolica della realtà. Attraverso il linguaggio, dunque, la realtà viene tradotta in simbolo e attraverso l’interpretazione il simbolo viene nuovamente tradotto in realtà. È dalla realtà economico-sociale sottostante alla norma che l’interprete potrà, dunque, trarre la soluzione interpretativa più adeguata, individuando i valori guida sottostanti alla norma stessa, mentre spesso accade proprio il contrario. Ma se non si conosce la realtà sottostante, anche la conoscenza del linguaggio e dei concetti da questo espressi risulta solamente formale.

Appare, allora, ragionevole, secondo Latella, che la corretta costruzione di un sistema giuridico dei controlli interni debba lasciare in secondo piano la lettura puramente logico-formale, muovendosi sul terreno dell’ermeneutica teleologica, assiologia e valutativa (pp. 60 e ss.). L’economia diviene in questo modo un potente strumento di analisi del diritto (64).

A prescindere da quanto precede, non c’è dubbio che i controlli interni debbano comunque rimanere delle strutture giuridiche formali, rappresentate da fattispecie procedimentali nell’ambito delle quali si muovono determinati soggetti, ciò che però è fondamentale recuperare è la nozione stessa di impresa, come ente produttore anche di rischi che devono essere mappati, programmati, monitorati e gestiti. Ciò che si deve invece evitare è il proliferare di “micro-sistemi” di controlli interni (79) che possono essere ridotti ad unità solamente se si segue una linea ricostruttiva che privilegi il criterio di inerenza della regola di diritto positivo all’organizzazione dell’impresa societaria, intesa quale elemento giuridico ed economico coessenziale al fenomeno imprenditoriale.

Un simile cambiamento di prospettiva, che rappresenta una vera e propria rivoluzione copernicana, passa necessariamente attraverso il recupero della figura centrale del “board” al centro dell’organizzazione d’impresa, e dunque affidando alle regole di governance il compito di fissare le premesse per far funzionare il sistema dei controlli (84).

Come già scritto in precedenza, al di là del proliferare dei controlli è necessario che la valutazione e la gestione del rischio partano proprio dall’organo amministrativo. È il consiglio di amministrazione che si deve occupare della gestione del rischio, per poi delegare l’attuazione di quanto deciso.

Al contrario, generalmente i Consigli di Amministrazione hanno la tendenza a farsi coinvolgere dai manager incaricati delle funzioni di controllo, la spinta parte dal basso e non dall’alto e non sempre le sollecitazioni provenienti dal basso trovano adeguato riscontro nei vertici.

Per quanto riguarda più specificamente il discorso relativo alle responsabilità di natura penale, da una parte della dottrina (Guido Rossi) si è sottolineato come sino ad oggi sia stato proprio il diritto penale ad aver di fatto determinato una costante espansione della funzione di compliance e della sua regolamentazione giuridica. La spinta all’implementazione ed all’osservanza delle regole di compliance deriverebbe, dunque, secondo Guido Rossi dall’incombere della sanzione penale. È la responsabilità a generare l’obbligo e non viceversa.

Ma questo, riflettendoci bene, non rappresenta affatto un’anomalia, perché il diritto penale è un diritto di comportamenti. Sono i comportamenti posti in essere dai consociati che, una volta percepitone il disvalore, spingono il legislatore a creare la fattispecie incriminatrice o il giudice a qualificarli come penalmente rilevanti.

Le riflessioni di Rossi, sulla cui fondatezza e condivisibilità occorre comunque riflettere, appaiono senza dubbio di grande interesse. Secondo l’Autore, come appena detto, sarebbe l’esperienza della sanzione, e in particolare della sanzione penale, ad aver stimolato lo sviluppo della funzione di compliance, sia a livello organizzativo che normativo, e non, invece, la necessità di un’efficace ed efficiente organizzazione aziendale. La leva della sanzione penale sarebbe, dunque, servita per stimolare all’interno delle società la riflessione sull’importanza della compliance, che altrimenti sarebbe rimasta al margine delle scelte di carattere organizzativo compiute dal management.

L’effetto trainante di un simile modo di procedere proviene dai paesi anglosassoni, e in particolare dagli Stati Uniti, dove a seguito dell’introduzione delle Federal Sentencing Guidelines nel 1992 la predisposizione di una corretta corpororate compliance inizia ad assumere un effetto mitigante della reazione sanzionatoria. La responsabilità penale viene così raffigurata e percepita come la vera e propria “Spada di Damocle” pendente sulla testa dei responsabili della funzione di compliance, nonché la ragione della loro crescente importanza all’interno degli organigrammi aziendali. La spinta, ovviamente, arriva fino all’organo amministrativo cui sono demandate le scelte strategiche anche in materia di compliance.

È il rischio penale, secondo questa impostazione, che riuscirebbe a motivare i vertici aziendali a dedicare risorse alle c.d. internal investigations e dunque, in buona sostanza, alla funzione di compliance. Anche se però, la reazione è spesso del tutto sbagliata. Si tratta, infatti, di una reazione meramente formale. Per contenere il limite penale si moltiplicano regole, funzioni e procedure, senza alcuna riflessione sulla reale efficacia di tali strumenti.

La compliance aziendale non nascerebbe, dunque, da esigenze di carattere organizzativo e di razionale gestione dell’impresa ma, in primis, dalla necessità di porre la società ed il management al riparo della sanzione penale. È il sistema penale ad aver evidenziato una lacuna da cui deriverebbero delle responsabilità e compito dell’attività di compliance sarebbe quello di colmare tale lacuna.

In effetti, prima dei grandi scandali finanziari che si sono verificati soprattutto negli Stati Uniti, ma anche in Italia con riferimento alle vicende Cirio e Parmalat, l’attenzione alle regole di corporate compliance era davvero minima. Anche gli strumenti messi a disposizione dal D.Lgs. 231/2001 vengono ancora percepiti dai più come dei fastidiosi adempimenti, quasi dei riti propiziatori, volti ad escludere rischi di responsabilità di natura penale/amministrativa, piuttosto che non degli strumenti per una razionale ed efficiente gestione dell’impresa.

V. Il problema della riserva di legge e della tassatività

Come si è già avuto modo di accennare più volte, quando si parla di responsabilità legate alla violazione delle regole di corporate governance e corporate compliance, uno dei problemi principali per il penalista è rappresentato dal fatto che non esiste un corpo normativo di riferimento, o quantomeno il fenomeno non è regolato da fonti primarie.

Tant’è che Guido Rossi si chiede se ci si debba aspettare che il diritto civile riprenda presto il “rango primario” e se ci trovi di fronte ad una nuova rivoluzione del diritto societario. Il diritto societario rappresenterebbe, infatti, secondo Rossi, una sorta di lex mercatoria generale che da un lato vede una tendenziale diminuzione dell’intervento della normativa primaria a vantaggio degli statuti societari e dall’altro lato vede una funzione “pionieristica” delle norme relative alle società quotate o alle società sottoposte ad ordinamenti settoriali, estese poi al diritto societario comune, con l’insorgere di rischi di responsabilità penali.

Come rilevato ancora dalla dottrina appena citata, l’amministrativizzazione del diritto societario, accompagnata da una carenza della normativa primaria che detti anche solo la cornice normativa nell’ambito della quale potersi muovere, ha fatto sì che la corporation si sia via via sostituita al legislatore, creando essa stessa delle norme di compliance ed individuando nuovi organi societari deputati ad attuare e a verificare l’adempimento della struttura organizzativa. Un’autoregolamentazione da cui, come detto, derivano anche responsabilità di carattere penale. Potrebbe allora apparire davvero un’anomalia il fatto che da scelte compiute in piena autonomia in ambito societario possano scaturire della responsabilità anche penali.

Si tratta però, come già anticipato, di un’anomalia solo apparente. Nella società del rischio, al contrario, è solo un approccio formale che fa derivare responsabilità penali dalla mera violazione di norme.

In ambito di corporate compliance, il legislatore dovrebbe, infatti, limitarsi a fissare gli obiettivi da raggiungere e non certo le modalità e gli strumenti con i quali tali obiettivi debbano essere raggiunti. Ragionando altrimenti sarebbe come sorprendersi che le leges artis in ambito medico non siano il frutto di un’elaborazione avvenuta in ambito scientifico, ma vengano dettate da un legislatore onnisciente.

Appare allora davvero singolare che si possa pretendere che sia la legge a stabilire quale debba essere l’assetto organizzativo, amministrativo e contabile corretto. Una legge del genere dovrebbe, infatti, tenere in considerazione tutte le infinite variabili che gli assetti societari potrebbero assumere a seconda della natura e delle dimensioni dell’impresa.

Il ragionamento fatto dalla dottrina è sicuramente suggestivo, ma ad avviso di chi scrive non coglie nel segno, almeno non del tutto. In particolare, con un simile modo di ragionare si rischiano di confondere i due piani, organizzativo e sanzionatorio, che devono rimanere ben distinti. Come abbiamo detto in precedenza, il diritto societario è un diritto dell’organizzazione, mentre il diritto penale è il diritto della responsabilità e della sanzione. Sanzione che può sicuramente dipendere dalla violazione di una norma organizzativa, ma il precetto violato appartiene comunque al mondo del diritto sanzionatorio. Non si può pretendere di trasformare il diritto penale in diritto di organizzazione o il diritto commerciale in diritto della responsabilità.

Per essere più chiari, le responsabilità penali che derivano dalla violazione di precetti civilistici sono comunque legate alla commissione di una qualche fattispecie di reato. Il precetto che si assume essere stato violato, la norma di organizzazione di riferimento, possono al massimo svolgere il compito di integrare la fattispecie di reato. Di conseguenza, nessun problema si pone in termini di legalità o di tassatività. Non si tratta, come già anticipato, di una norma penale in bianco, ma piuttosto di una norma molto simile alla fattispecie colposa.

Anzi, la norma di organizzazione richiamata esplicitamente o implicitamente dalla fattispecie di reato ne integra il contenuto, con indubbi vantaggi proprio in termini di determinatezza, certezza e prevedibilità.

Pensiamo, ad esempio, al reato di false comunicazioni sociali, oppure al reato di bancarotta fraudolenta. In relazione a tali fattispecie di reato, l’estensione della responsabilità penale agli amministratori privi di deleghe ovvero agli organi di controllo trova spesso un forte elemento di contenimento proprio nella corretta attività di corporate compliance, declinata sulla base della normativa di riferimento, anche di natura regolamentare. In buona sostanza, dunque, la fonte secondaria non determina il precetto che, se violato, porta all’applicazione della sanzione penale, ma fornisce delle indicazioni, più o meno precise, su ciò che occorre fare per non incorrere nella sanzione penale. E tali indicazioni possono anche essere fornite da una fonte secondaria, proprio perché non è il mancato rispetto di tali indicazioni a determinare automaticamente la responsabilità penale del soggetto agente. Significativo, da questo punto di vista, quanto accade in tema di responsabilità degli enti da reato, ai sensi del D.Lgs. 231/2001. Come noto, infatti, nel nostro ordinamento la responsabilità degli enti è legata al rimprovero che ad essi può essere mosso per la c.d. “colpa di organizzazione”. La responsabilità degli enti si atteggia, cioè, ad una forma di responsabilità che è tipicamente colposa e per la cui valutazione occorre, dunque, far riferimento a quei “regolamenti, ordini e discipline” richiamati in precedenza. Ed i regolamenti, ordini e discipline in materia di responsabilità degli enti sono, per l’appunto, gli statuti societari, le linee guida emanate delle associazioni di categoria, i c.d. codici di disciplina o di autodisciplina, etc... Anche in tale ambito da parte della dottrina si è lamentato come vi sia una carenza della normativa primaria nel determinare quando un modello organizzativo possa considerarsi idoneo (Severino).

Ma per le stesse ragioni esposte in precedenza, non può certo essere la legge ordinaria a dettare i parametri alla stregua dei quali poter valutare l’idoneità dei modelli organizzativi. È impensabile, infatti, che la legge possa prevedere tutte le possibili variabili organizzative e tutte le infinite possibilità con le quali gli enti possano articolarsi. Così come è impensabile che possa essere la legge a dettare i protocolli e le procedure che gli enti devono seguire per prevenire la commissione di reati.

Quello che al massimo la legge può fare è costruire nella maniera più determinata possibile la struttura dell’illecito dell’ente e fissare le finalità che devono essere perseguite e che, se non raggiunte, possono generare responsabilità.

Sono solo gli enti, infatti, ad essere in grado, sulla base della natura e dell’organizzazione dell’attività svolta, a poter individuare i protocolli e le procedure adeguate a regolamentare tale attività in modo tale che nel suo svolgimento non possano essere commessi dei reati.

VI. Diritto penale dell’economia tra sanzione ex post e prevenzione ex ante

Nel particolare settore oggetto della nostra indagine, alle difficoltà che precedono si devono aggiungere le difficoltà “classiche” del diritto penale dell’economia, con i problemi che, in parte, sono stati già accennati in precedenza. Occorre così ricordare, in primo luogo, come il diritto penale dell’economia si sia sempre posto in una funzione meramente sanzionatoria di illeciti già perfezionatisi in altri settori dell’ordinamento (Lanzi e Aldrovandi, Zannotti, Musco). Il rischio sin troppo noto di una concezione meramente sanzionatoria del diritto penale è che la illiceità penale vada a coincidere con l’illiceità civile e che, dunque, si sovrappongano le diverse forme di responsabilità. Per essere più espliciti, e con particolare riferimento al tema che ci occupa, il rischio è che dalla responsabilità di natura civilistico-risarcitoria legata a difetti di governance e di compliance scaturisca automaticamente anche una responsabilità di carattere penale. Atteggiamento, questo, in parte dettato dai problemi di linguaggio e dalla pigrizia, in parte figlio di pregiudizi legati alla scarsa conoscenza della materia.

Non solo, dunque, il problema rappresentato dal fatto che dalla violazione di norme di diritto societario possano derivare in via automatica delle responsabilità di natura penale, ma anche il problema che dal riconoscimento di un illecito civile si riconosca automaticamente un illecito penale.

Tutto ciò ha tradizionalmente comportato grandi difficoltà, soprattutto di carattere interpretativo e di ricostruzione degli elementi costitutivi di fattispecie. A dispetto, infatti, del rivendicato principio di autonomia del diritto penale, secondo il quale, come noto, gli elementi costitutivi delle fattispecie ed il disvalore delle stesse devono essere ricostruiti in chiave autonoma, seguendo regole e principi tipici del diritto penale, la tendenza, soprattutto della giurisprudenza, è sempre stata quella di appiattirsi su responsabilità riconosciute altrove. Il veicolo principale di un tale modo di procedere è costituito dalla figura del dolo eventuale, letto ancora alla luce della teoria dell’accettazione del rischio che, mentre a seguito della tristemente nota sentenza Thyssen delle Sezioni Unite della Corte di Cassazione del 2014, sembrerebbe essere bandita dal diritto penale “tradizionale”, nel diritto penale dell’economia continua ad essere la regola.

Il discorso si complica ulteriormente quando dalla responsabilità diretta degli amministratori, o di chi comunque sia l’autore del fatto illecito, si passa a quella a titolo di concorso omissivo improprio, ex art. 40 cpv. c.p., per non aver impedito la verificazione dell’evento lesivo. E ciò vale tanto per gli organi di controllo quanto per gli organi di gestione. Quando poi si passa dalla responsabilità individuale a quella collegiale negli organi plurisoggettivi o, ancora, alla responsabilità degli enti da reato ai sensi del D.Lgs. 231/2001, il discorso, se possibile, diviene ancora più complesso. Ed infatti, tutte le volte in cui la responsabilità si allarga dal soggetto che ha commesso il fatto tipico ad altri soggetti, il rischio di uscire dal perimetro tracciato dalla Costituzione e dal principio di personalità, di cui all’art. 27 Cost., è piuttosto elevato. Si pensi, ad esempio, alle difficoltà legate all’istituto del concorso di persone nel reato di cui agli artt. 110 e ss. c.p., anche sotto il profilo della ricostruzione del fatto tipico, dal momento che la quasi totalità delle fattispecie di reato presenti nel nostro sistema penale sono costruite secondo un modello di reato monosoggettivo.

Le difficoltà, allora, come visto, oltre ad essere legate alla ricostruzione del precetto penale violato e, dunque, di conseguenza, alla ricostruzione in chiave plurisoggettiva della fattispecie incriminatrice, riguardano proprio l’individuazione del soggetto responsabile.

Per superare, in parte, tali difficoltà o, per lo meno, per tentare di attenuarle, utilizzando ancora le parole di Guido Rossi, occorre “gettare un po’ di luce sulla terra incognita dei profili giuridici della compliance”. Da qui la necessità che lo studio del diritto penale non si limiti all’esegesi della norma, ma abbracci quell’”immane concretezza” di cui parla Gabrio Forti. Come già detto in precedenza, l’attenzione dovrà essere dedicata all’attività di compliance e di governance “in action”, alla sua fenomenologia, e non solamente al quadro normativo e regolamentare di riferimento, perché mai come in tali attività la normativa proviene dalla pratica. Solo in questo modo si può comprendere il fenomeno e superare gli apparenti deficit di tassatività e di legalità.

Volendo tirare le fila del discorso, la domanda che deve porsi il penalista è se dalle scelte organizzative compiute in materia di governance e di compliance possano derivare delle responsabilità di carattere penale, a fronte di quali elementi e con che estensione. E ciò perché, benché la maggior parte dei reati economici sia punita a titolo di dolo, scelte errate in materia di compliance sembrerebbero al massimo poter determinare una responsabilità esclusivamente a titolo di colpa.

Il problema si inserisce in una tematica di ben più ampio respiro, legata al fatto che nel diritto penale dell’economia le categorie fondamentali del diritto penale vengono spesso piegate, soprattutto dalla giurisprudenza, alle esigenze della prevenzione e della repressione di fenomeni avvertiti come particolarmente allarmanti. Così, ad esempio, il riconoscimento della responsabilità penale dei sindaci o degli amministratori privi di deleghe passa spesso proprio per la dilatazione della figura del dolo eventuale, che va a coprire ambiti tradizionalmente riservati alla colpa.

La stessa teoria dei “segnali d’allarme”, elaborata dalla giurisprudenza come criterio guida per riconoscere la responsabilità penale negli organi collegiali o negli organi di controllo, rischia di ampliare a dismisura l’ambito di applicazione della figura del dolo eventuale, anche oltre i limiti fissati dalle stesse Sezioni Unite della Corte di cassazione nella sentenza Thyssen. Soprattutto se i segnali d’allarme, piuttosto che essere legati a significativi elementi di fatto, risultano essere presunti o presunta risulta essere la loro percezione e comprensione da parte dei soggetti ritenuti responsabili. Non è detto, infatti, che pur in presenza di segnali di allarme gli stessi vengano necessariamente ignorati per dolo, quando è ben possibile che ciò accada per un comportamento negligente o imperito, che può generare altre forme di responsabilità rispetto alla responsabilità penale. Desumere, dunque, la sussistenza del dolo dal semplice fatto che determinati segnali siano stati ignorati, equivale a svuotare completamente l’imputazione a titolo di dolo del proprio significato originario. Si tratterebbe, cioè, di un’ipotesi di dolus in re ipsa che rappresenta una forma mascherata di responsabilità oggettiva o, tutt’al più, una forma di colpa, mascherata da dolo. La sussistenza del dolo si presume, cioè, dalla semplice presenza di determinati segnali, accompagnata dall’ulteriore circostanza, anch’essa di carattere puramente oggettivo, del verificarsi di un evento dannoso. Ed infatti, da quanto precede ne consegue che dal semplice fatto che determinati segnali siano stati ignorati, senza dover dimostrare l’effettiva percezione degli stessi e che la portata di tali segnali sia stata compresa, ne deriverebbe l’assunto che il soggetto abbia agito con dolo.

Non a caso, come anche sottolineato da Sgubbi nel lavoro citato in precedenza (56), il reato come rischio sociale si accompagna alla svalutazione dell’elemento psicologico del reato inteso come nesso psicologico dell’uomo con il suo fatto, come partecipazione interiore dall’autore al fatto. Si assiste, dunque, ad un’oggettivizzazione del dolo che non dipende esclusivamente da problemi di natura probatoria, ma principalmente al malgoverno del principio di responsabilità.

Questo processo è accentuato dal fatto che nello svolgimento dell’attività d’impresa e, dunque, di un’attività che la dottrina citata ha definito a “liceità regolamentata”, viene meno il legame psicologico esistente tra il soggetto e l’azione trasgressiva. Il soggetto, salvo che in ipotesi che potremmo definire patologiche, non ha la percezione di porre in essere una condotta illecita. La violazione assume allora natura impersonale, dal momento che ciò che interessa è solamente la trasgressione oggettivamente considerata e accertata. In un simile contesto si eclissa, dunque, anche il rispetto per la persona umana, per la libertà dell’uomo e le sue scelte di comportamento, così come codificati in Costituzione.

VII. Ripartizione delle responsabilità di gestire il rischio e responsabilità penali

La storia dei più grandi scandali finanziari del terzo millennio, da Enron a WorldCom, da Cirio a Parmalat ci parla di un totale fallimento degli organi di controllo esterni

A ciò si aggiunga, ovviamente, il totale fallimento del sistema dei controlli interni.

Perché? Che cosa è successo? Quali sono i possibili rimedi? E, soprattutto, possibile che l’unico rimedio possa essere la reazione penale che, però, interviene inevitabilmente quando è oramai troppo tardi?

Abbiamo già ricordato come tanto in capo alle persone fisiche che alle persone giuridiche potranno essere riconosciute delle responsabilità penali in conseguenza delle scelte di carattere organizzativo compiute. Allo stesso tempo, gli adempimenti derivanti dal D.Lgs. 231/2001 prevedono anche un nuovo regime di responsabilità endosocietaria tutte le volte in cui non vengano rispettate le procedure legate ai modelli organizzativi, nonché la creazione di norme volte a prevenire la commissione di illeciti di natura sia penale che amministrativa.

La risposta a questo radicale cambiamento nell’approccio alla corporate compliance, è stata la crescita dei controlli interni, di cui si è parlato in precedenza, e ciò perché le organizzazioni complesse sono ben consapevoli del fatto che la violazione delle norme vigenti può portare ad atti potenzialmente devastanti.

Rileva, però, in proposito Centonze (65), come dietro alla c.d. “società dei controlli” si nasconda una profonda contraddizione, rappresentata dal fatto che da una parte sorge l’opportunità di mantenere in vita i miti del controllo e della gestibilità dei rischi, ma dall’altra si verificano continue ondate di fallimenti, indicando in realtà un mondo fuori controllo. Non c’è alcun rapporto diretto tra quantità di controlli ed efficacia della prevenzione.

Così si assiste ad un proliferare di provvedimenti legislativi e di best practice ed al proliferare di una moltitudine di soggetti: amministratori, amministratori indipendenti, membri dei comitati di controllo interni, sindaci, componenti del comitato di controllo sulla gestione o del consiglio di sorveglianza, membri dell’organismo di vigilanza ex D.Lgs. 231/2001, membri dell’Internal Audit, proposti al controllo interno, dirigenti preposti alla redazione dei documenti contabili, revisori, etc. Il tutto con costi lievitati a dismisura e con inevitabili problemi di sovrapposizione di compiti e competenze, senza che vi sia, però, un’effettiva valutazione sull’efficacia, l’efficienza e l’affidabilità di un tale sistema di controlli. Anzi, quando si verificano nuovi scandali finanziari, gli ordinamenti si limitano generalmente a “semplici operazioni cosmetiche” e alla creazione di “nuovi sistemi di vigilanza”, spostando la fiducia richiesta ad un livello superiore, dando vita ad una sorta di “gioco di scatole cinesi istituzionali”.

L’idea di una compliance efficace passa, dunque, dalla delega dell’attività di controllo dal pubblico al privato. Ciò ha fatto si che con il moltiplicarsi dei controlli e delle deleghe si siano moltiplicate anche le posizioni di garanzia penalmente rilevanti ai sensi dell’art. 40, cpv., c.p. senza, però, che vi fosse un’attenta analisi dei reali poteri impeditivi dell’evento in capo ai diversi controllori.

È inevitabile, infatti, che con il moltiplicarsi dei controlli vi sia un rischio concreto di sovrapposizione delle competenze e, di conseguenza, delle responsabilità.

Il problema evidenziato da Centonze e Bonelli, e che interessa maggiormente la nostra indagine, è che, dunque, all’esplosione dei controlli si è inevitabilmente accompagnata l’esplosione delle responsabilità penali dei controllori a titolo di omesso impedimento del reato commesso dai controllati. E questo perché l’atteggiamento mostrato dalla giurisprudenza in materia è stato sempre piuttosto formalistico. A dispetto di ciò, una volta accertata la violazione di una regola di corretta compliance, occorrerà però accertare anche la sussistenza del nesso di causalità tra la violazione e l’evento lesivo verificatosi.

A fronte del verificarsi di fatti illeciti, si sono sempre cercate delle cause esterne al sistema dei controlli che avrebbero allentato il rigore dei controllori stessi, tra cui, soprattutto, la continua pressione da parte dei manager ed un affievolimento della minaccia delle sanzioni legali verso gli stessi controllori. O, ancora, il sistema dei controlli spesso presenta delle falle nel forte legame che talvolta sussiste tra il management ed i controllori che sono tutt’altro che soggetti indipendenti.

Una simile tesi (Coffee) poggia sull’assunto di fondo che la burocrazia dei controlli sia generalmente efficace e capace di disattivare il rischio di condotte illecite e che, i c.d. gatekeepers sarebbero posti nella posizione di monitorare e, di conseguenza, il fallimento dei controlli sarebbe da imputarsi esclusivamente alla scelta individuale compiuta, per convenienza, dagli stessi gatekeepers e non, invece, dal sistema dei controlli in sé.

Sembrerebbe, allora, essere più un problema di persone che di regole e sistemi di controllo, da qui la responsabilità penale.

Non è, dunque, il sistema a non funzionare, ma sono i singoli soggetti che fanno parte del sistema che possono tenere dei comportamenti devianti. Questa sembra essere, allora, la ragione per la quale lo strumento principe nella prevenzione e nella repressione dei fatti illeciti connessi con la corporate compliance continui a rimanere il diritto penale, perché riguarda il comportamento dei singoli e non detta regole di organizzazione. È il diritto penale, infatti, che si occupa della responsabilità individuale.

In conclusione, l’esplosione dell’attività di audit è il riflesso di una specifica risposta alla necessità della gestione del rischio, ma minaccia di diventare una pratica cosmetica che nasconde il rischio reale (123).

Come sottolineato dalla dottrina penalistica (Centonze), il discorso diventa ancora più complesso quando poi si passa ad analizzare i controlli e le procedure introdotte sulla scia dei vari sistemi di autoregolamentazione.

La stessa dottrina si sofferma sulle responsabilità nell’ambito del Consiglio di Amministrazione (Centonze 125), descritto come “l’avamposto del controllo interno sugli amministratori esecutivi” (127). Ed è proprio così, il primo “avamposto” di controllo è proprio rappresentato dal Consiglio di Amministrazione. È il Consiglio di Amministrazione il luogo dove, in prima istanza, deve essere valutato ed analizzato il rischio e dove devono essere prese le decisioni di indirizzo per una sua efficace gestione.

Ciò che, però, risulta difficile, come sottolineato da Centonze, è la differenziazione delle posizioni nell’ambito del consiglio di amministrazione, a causa delle laconiche previsioni contenute nel codice civile. Così, ad esempio, prima della riforma del 2003, l’art. 2392 c.c. demandava agli amministratori deleganti la vigilanza sul “generale andamento della gestione”. Come, però, correttamente evidenziato dall’Autore, l’ascesa della “società dei controlli” ha determinato un’omologazione delle posizioni nell’ambito del Consiglio di Amministrazione, dilatando al massimo i doveri di sorveglianza, frutto sicuramente anche di una concezione antiquata della vita degli organismi societari complessi. In poche parole, si ha ancora l’idea di un Consiglio di Amministrazione espressione della famiglia proprietaria dell’impresa, dove tutti fanno tutto e le decisioni vengono prese collegialmente, magari durante il pranzo della domenica.

Una simile impostazione ha, però, fatto si che, a partire dai primi anni Ottanta, nei processi penali hanno iniziato a rimanere coinvolti tutti i componenti del Consiglio di Amministrazione, a prescindere da eventuali deleghe, oltra ai membri del collegio sindacale.

Proprio per tali ragioni, la riforma del diritto societario del 2003, almeno nelle dichiarate intenzioni del legislatore, ha cercato di riformulare i doveri degli amministratori senza deleghe, operando delle distinzioni anche in termini di responsabilità. Rileva in proposito la citata dottrina come il quadro offerto dalla riforma deponga a favore di una sostanziale contrazione dei doveri di garanzia dei consiglieri non esecutivi, anche in considerazione dei limitati poteri impeditivi. Allo stesso tempo, però, Centonze (134) lamenta come la dottrina si sia soffermata sui doveri ed i poteri in astratto del Consiglio di Amministrazione e non sul suo concreto funzionamento, così come non si è soffermata sulle ragioni che possano aver portato al fallimento del monitoraggio operato dagli amministratori senza deleghe. Un simile atteggiamento è in parte il frutto di un deficit di esperienza sul campo riconosciuto in capo ai giuristi. Ciò ha portato, inevitabilmente, ad una riflessione teorica che, però, prende le mosse dal funzionamento in astratto di un consiglio di amministrazione ideale, senza conoscere a fondo la realtà di cui si parla.

Ma il deficit di esperienza, purtroppo, non riguarda solamente la riflessione teorica, anzi, da questa si estende poi anche a chi i principi di diritto li deve applicare.

È proprio per tali ragioni, infatti, come già detto in precedenza, che nelle inchieste giudiziarie si assiste ad un’automatica e generalizzata imputazione degli illeciti a tutti i componenti dell’organo amministrativo, senza fare distinzioni tra consiglieri con o senza deleghe, riconoscendo, alla fine, delle vere e proprie responsabilità di posizione. In particolare, agli amministratori non esecutivi viene contestato il concorso mediante omissione nel reato posto in essere dagli amministratori delegati, facendo ricorso all’art. 40, cpv., c.p. Come però rilevato da Centonze, nella giurisprudenza viene a volte trascurato ogni riferimento ai confini della posizione di garanzia. Anche dal punto di vista dell’elemento soggettivo, il più delle volte si ricorre alla figura del dolo eventuale, connotata da semplificazioni concettuali ed incertezze interpretative. La stessa teoria dei segnali dall’arme nasconde l’insidia di un ragionamento di carattere circolare, dando per presupposto ciò che, in realtà, deve essere dimostrato.

Per quanto riguarda più in particolare la nostra indagine, occorre comunque sottolineare come il controllo sul rispetto degli obblighi di compliance, così come anche la valutazione e la gestione del rischio spetti all’intero Consiglio di Amministrazione, e non certo ai soli amministratori esecutivi, anche se ciò non significa certo che dall’inadempimento di tali obblighi debba derivare automaticamente una responsabilità penale.

Dei sensibili miglioramenti sono senz’altro derivati dalla riforma del diritto societario del 2003, con la quale il legislatore ha voluto porre fine alla prassi ingiusta della solidarietà della responsabilità degli amministratori, da una parte attenuando la responsabilità degli amministratori senza deleghe eliminando l’obbligo di vigilanza di cui al comma II dell’art. 2392 c.c. Il legislatore del 2003 assume, dunque, la consapevolezza del fatto che sono gli organi delegati ad essere a capo della struttura ed a conoscere i fatti di gestione di cui devono riferire al consiglio ed al collegio sindacale. D’altra parte, tali concetti sono espressi chiaramente anche nella Relazione al D.Lgs. 6/2003, dove si sottolinea che si sono volute evitare delle indebite estensioni della responsabilità solidale, con il rischio di una responsabilità sostanzialmente oggettiva.

VIII. Autoregolamentazione di “governance” e attenuazione della responsabilità penale

La funzione di compliance rappresenta uno strumento per la gestione del rischio aziendale e, in particolare, del rischio di non conformità rispetto alla normativa interna ed esterna.

In relazione alle riflessioni fatte sinora, interessante osservare come anche la dottrina penalistica si è occupata delle implicazioni della corporate compliance.¹³

Grosso evidenzia il ruolo che la funzione di compliance assume anche per il sistema penale. In particolare, l’Autore sottolinea come, con riferimento al rischio penale, la funzione di compliance sia destinata a valutare, in relazione alla specifica attività aziendale, l’esistenza di un rischio di commissione di reati. Compito della funzione è, dunque, quello di supportare il management nell’individuazione del rischio, nella decisione se assumere o meno un determinato rischio, nonché nell’adozione degli strumenti utili a rendere tale rischio il meno elevato possibile. La funzione di compliance è, dunque, un organo interno alla società, di supporto al management, anche se, come detto più volte, le scelte fondamentali devono essere compiute dal management, assumendosene le responsabilità.

Al di là di ciò, la funzione di compliance svolge, dunque, un ruolo fondamentale per quanto riguarda la gestione del rischio penale nell’ambito dell’impresa.

Anche Grosso lamenta il fatto che nonostante la funzione di compliance costituisca oramai un aspetto rilevante del governo delle imprese, il nostro ordinamento non ne preveda una disciplina, per cui la sua regolamentazione viene demandata interamente all’attività di autoregolamentazione delle imprese, nonché all’elaborazione dottrinale e giurisprudenziale.

Su questo tema si è già detto in precedenza. Non appare, infatti, possibile demandare alla fonte primaria, sia essa di natura civile, penale o amministrativa, la puntuale regolamentazione dell’attività di compliance, non è quello a cui tale normativa è preposta. Così come, d’altra parte, anche la struttura ed il funzionamento della funzione di compliance non possono che essere demandate alle discipline aziendalistiche.

Un’eccezione in tal senso, secondo Grosso, è rappresentata dal D.Lgs. 231/2001. In realtà, però, a ben vedere, il D.Lgs. 231/2001 si limita a prevedere un regime di responsabilità per gli enti da reato e a riconoscere efficacia scriminante all’adozione di modelli organizzativi, senza però dire nulla sulla struttura di tali modelli, se non che possano spiegare efficacia scriminante solamente se idonei a prevenire i reati della stessa specie di quello verificatosi.

L’equivoco in cui cade non solo Grosso, ma anche gran parte della dottrina penalistica, prende le mosse dal fatto che l’adozione dei modelli organizzativi viene qualificata come una causa di giustificazione (283).

In realtà, però, come si dirà meglio in seguito, l’adozione e l’efficace attuazione di un modello idoneo a prevenire reati della stessa specie di quello verificatosi, così come previsto dall’art. 6 D.Lgs. 231/2001, sembrerebbe far venire meno la rimproverabilità dell’ente e, dunque, la sua colpevolezza, non rappresentando affatto una causa di giustificazione. Non si tratta, dunque, di una misura premiale o di un’esimente (285), ma di una vera e propria causa di esclusione della colpevolezza se non, addirittura, della tipicità del fatto. L’adozione di un modello organizzativo da parte dell’ente rappresenta, dunque, lo strumento attraverso il quale l’ente si adegua agli standard richiesti ed agli obiettivi posti dalla normativa primaria.

A ben vedere, allora, nonostante le osservazioni della dottrina appena citata possano apparire, in linea teorica, corrette, risulta difficile, se non impossibile, predeterminare il contenuto dei modelli organizzativi, oppure, come lamentato dallo stesso Grosso, il modus operandi dell’Organismo di Vigilanza. Vero è, come scrive Grosso, che l’assenza di criteri legislativi vincolanti ha fatto si che la valutazione circa l’idoneità del modello sia stata pressoché interamente demandata alla valutazione del giudice, ma ciò, come già detto più volte, appare inevitabile.

Inoltre, l’impostazione seguita da Grosso, come anche quella di tutti coloro che hanno lamentato l’amministrativizzazione della normativa in materia di corporate compliance, appare essere il frutto di una visione statica del diritto, dove il giudice è visto come un mero fruitore di norme e non creatore di diritto. E, soprattutto, frutto di una visione che vede la legge come unica fonte del dritto, senza riconoscere alcuna funzione normativa a quella societas che nell’adagio latino ubi societa ibi ius rappresenta, invece, il cuore pulsante del sistema normativo. Altra dottrina (Di Giovine, Lineamenti sostanziali del nuovo illecito preventivo, in Reati e responsabilità degli enti, Lattanzi, Milano, 2006) ha sottolineato come “la difficoltà di articolare meccanismi di prevenzione dai reati all’interno delle organizzazioni complesse rende di fatto impossibile tracciare a livello legislativo linee guida precise e di conseguenza inevitabile lasciare spazio alla discrezionalità giudiziale”. D’altra parte, sottolinea la stessa Di Giovine come anche la giurisprudenza di legittimità, quando è stata chiamata a pronunciarsi sulla legittimità costituzionale dell’art. 6 D.Lgs. 231/2001 per indeterminatezza, ha affermato che l’obbligo organizzativo dell’ente risulta sufficientemente delineato dalla legge (Cass. pen., SS.UU., 38343/2014).

Ma delle riflessioni che precedono si rende conto lo stesso Grosso il quale, infatti, a differenza di quanto sostenuto in precedenza, in un secondo momento ha rilevato come con la violazione dell’obbligo di dotarsi di un modello idoneo si concreti la colpevolezza dell’ente, qualificabile come colpa specifica e/o “colpa di organizzazione”, desumibile dalla violazione di norme cautelari, di corretta organizzazione del sistema di controllo interno.

IX. Responsabilità aggiuntiva degli enti degli enti ex D.Lgs. 231/2001

Nell’ambito di una riflessione sui risvolti penali della corporate compliance e della corporate governance, un discorso a parte merita sicuramente la materia della responsabilità degli enti da reato, introdotta nel nostro ordinamento con il D.Lgs. 231/2001.

Come già anticipato più volte nel corso della trattazione, il discorso relativo alle responsabilità penali legate alle scelte di compliance si amplia e si presenta in tutta la sua complessità quando dalla responsabilità dei singoli, anche negli organi collegiali, si passa a quella collettiva degli enti.

Tema, quello della responsabilità penale o parapenale degli enti,¹⁴ avvertito come una novità assoluta, soprattutto in Italia, ma che, come ben evidenziato da una parte della dottrina (Mongillo XV), rappresenta in realtà un ritorno alla “persona collettiva”, tra i soggetti destinatari delle sanzioni previste per la realizzazione di fatti penalmente rilevanti, non estranea alla nostra esperienza giuridica. Secondo Mongillo, infatti, un nodo di fondo della storia del diritto penale è rappresentato proprio dal riparto della responsabilità, di fronte ad un fatto criminoso, tra individui e collettività di appartenenza (pp. 1 e ss.). Si pensi, ad esempio, al diritto romano o a quello dei barbari.

Problematica, quella della responsabilità del gruppo, che ad un certo punto, sarebbe però scomparsa dalla scena del diritto penale, tanto dalla dialettica scientifica quanto dal diritto positivo, quantomeno nei paesi di civil law, a causa del trionfo del modello antropocentrico di responsabilità penale nella civiltà occidentale post-illuministica, per le ragioni che tutti ben conosciamo, dal principio di personalità della responsabilità penale, alla finalità rieducativa della pena, all’imputabilità, etc.

Il discorso è cambiato radicalmente con il riaffacciarsi delle societas tra i soggetti protagonisti del diritto penale. O meglio, con l’affermarsi delle societas come soggetti economici e come soggetti fondamentali del moderno vivere sociale.

A dispetto di ciò, il problema ce lo si era posto da tempo. Noti sono gli studi in proposito di Savigny, Delitala e Bricola.

Ma serve davvero qualificare la responsabilità degli enti come penale? Anche la stessa teoria delle finzioni, elaborata da Savigny (pp. 16 e ss.), introducendo una forma artificiale di capacità delle persone giuridiche, rileva solamente in relazione ai rapporti di diritto privato e patrimoniali e non certo di diritto penale. La teoria della finzione affonda evidentemente le sue radici nella necessità di individuare i soggetti di quella che viene dallo stesso Savigny definita come la “relazione giuridica”,¹⁵ osservando come elemento fondamentale per l’uomo che si trovi a muoversi nella realtà esterna sia il contatto con i suoi simili e ciò è possibile solamente attraverso il riconoscimento di un legame invisibile nell’ambito del quale l’esistenza e l’attività di ogni individuo raggiungono uno spazio libero e sicuro. Ebbene, le regole che garantiscono tale legame e tale spazio libero sono rappresentate dal diritto. L’essenza della relazione giuridica viene definita come una “provincia” della signoria autonoma della volontà dell’individuo. La relazione giuridica, dunque, unisce in un legame invisibile, regolato dal diritto, due o più soggetti.

Come sottolineato in proposito da Mongillo, nei rapporti di diritto privato o, più in generale, nei rapporti patrimoniali è del tutto irrilevante che tale soggetto sia una persona fisica o, secondo la teoria della finzione, una persona giuridica, mentre lo stesso non può dirsi per il diritto penale, dove la teoria della finzione non può trovare applicazione per tutte le ragioni che abbiamo illustrato sinora. Ma Savigny nulla dice in relazione al diritto penale, limitandosi a sottolineare come lo stato si ponga due obiettivi: da una parte, per il tramite del processo civile, la tutela degli individui che hanno subito un danno; dall’altra, per il tramite del diritto penale, difendere e ristabilire il diritto offeso, senza alcun riferimento all’interesse dell’individuo.

Per comprendere a fondo le problematiche legate alla responsabilità degli enti da reato, occorre allora approfondire la conoscenza del fenomeno, anche attraverso una sintesi tra saperi sia interni al mondo giuridico che esterni ad esso (Mongillo, 3), attingendo alle correnti culturali e all’indagine empirico-criminologica.

In proposito, Mongillo individua la portata essenziale del problema epistemologico pregiuridico, rappresentato dal metodo di comprensione e di spiegazione dei fenomeni collettivi (4). Il problema della responsabilità penale degli enti, secondo la citata dottrina, non è, infatti, un problema di natura giuridica, ma richiede, in prims, un approccio sociologico. E le diversità di vedute della sociologia sono in grado di condizionare sia le costruzioni teoriche e sia le soluzioni giuridiche. In particolare, due sono le differenti visioni, di natura sicuramente pregiuridica, che si contrappongono sul tema dell’allocazione della responsabilità: l’individualismo ed il collettivismo.

Secondo la citata dottrina, dal punto di vista ontologico occorre allora domandarsi se esiste o meno una persona giuridica (retius, l’ente) oppure se esiste solamente l’individuo, con le inevitabili conseguenze di carattere penale.

Per rispondere ai dubbi sollevati da Mongillo, occorrerebbe, però, anche chiedersi come mai un simile interrogativo non ce lo si ponga per quanto riguarda la responsabilità civile. Se, cioè, la personalità giuridica possa essere riconosciuta solamente come centro di interesse economico e non anche come centro di responsabilità penale. Questo porta ad interrogarci, ovviamente, sull’essenza della responsabilità penale ed eventualmente sull’evoluzione di tale essenza.

Mongillo ripercorre la storia dell’individualismo e del collettivismo ed è interessante seguirlo nel suo cammino per comprenderne le ragioni, osservando come dal punto di vista metodologico l’individualismo si pone come metodo da adottare nello studio dei fenomeni sociali (6 e ss.). L’individualismo metodologico prende le mosse dalla convinzione che sia un abbaglio concepire la società come un organismo autonomo in grado di prendere decisioni, così come è un abbaglio concepire un’entità collettiva che abbia una sostanza reale che trascenda dai singoli soggetti che la compongono, determinandone addirittura il comportamento. Una realtà superiore, cioè, che fonda in un’unica unità tutte le sue componenti. A ciò si accompagna l’idea che le scienze sociali debbano costruire le proprie teorie attorno all’azione individuale, citando von Hayek e Weber, secondo i quali è solo l’individuo ad agire, sicché ogni fenomeno sociale è il risultato dell’aggregazione di comportamenti individuali, escludendo, in tal modo, qualsiasi impostazione organicistica.

Mongillo ritiene poi che alla questione ontologica si affianchi anche la questione metodologica. Così per il collettivista nello studio dell’origine dei fenomeni, dei comportamenti e delle istituzioni occorrerà partire proprio dallo studio delle realtà collettive, mentre per l’individualista esistono solamente gli individui ed è dunque dagli individui che prende il via lo studio degli eventi sociali.

Al di là, però, di un errore “metodologico” in cui, ad avviso di chi scrive, cade Mongillo, e del quale si dirà a breve, anche la “sponsorizzazione” richiesta ad illustri Autori come von Hayek e Weber non sembra cogliere nel segno. Occorre, infatti, leggere attentamente i lavori di von Hayek e di Weber per comprendere come le loro conclusioni, per il nostro discorso, siano del tutto inconferenti.

Lo stesso von Hayek afferma infatti che “mentre i concetti o le idee possono esistere, ovviamente, solo nelle menti degli individui, e mentre, in particolare, solo in queste ultime può aver luogo l’interazione di idee diverse, non è tuttavia l’insieme delle singole menti in tutta la loro complicità, ma sono le concezioni dei singoli, le opinioni che gli uomini si sono fatti di sé stessi e delle cose, che costituiscono gli elementi di base della struttura sociale” (65). In proposito, l’Autore commenta il fatto che la struttura sociale permanga inalterata, pur nel succedersi dei vari individui, non perché gli individui siano perfettamente uguali, “ma perché si succedono in determinate relazioni, in determinati atteggiamenti che assumono verso gli altri individui e come oggetto di determinate opinioni che gli altri hanno di loro. Gli individui sono soltanto nuclei in una trama di interrelazioni e sono i vari atteggiamenti che gli individui assumono gli uni verso gli altri… che costituiscono gli elementi ricorrenti, riconoscibili e familiari della struttura”.

Occorre allora chiedersi che cosa sia questa “struttura” e se possa essere centro di imputazione penale o di responsabilità penale.

A ben vedere, dunque, se è vero che ad agire sono solamente gli individui e non le realtà collettive, e se è vero che gli elementi alla base della struttura sociale sono le opinioni che gli uomini si sono fatti di sé stessi e delle cose, è però altrettanto vero che gli individui rappresentano il nucleo in una trama di interrelazioni, dimodoché la struttura sociale permanga inalterata a prescindere dai soggetti che la compongono. In parole più semplici, una società rimane la stessa a prescindere, ad esempio, da chi siano i membri del Consiglio di Amministrazione, ovvero da chi sia il responsabile della funzione di compliance. Ma se allora, come riconosciuto dallo stesso von Hayek, la trama delle interrelazioni costituisce gli elementi “ricorrenti, riconoscibili e familiari della struttura”, che peso dobbiamo riconoscere a questa trama di interrelazioni che, abbiamo visto, prescinde dai singoli soggetti che, di volta in volta ne fanno parte?

La struttura può essere colpita da una sanzione che potremmo definire come penale?

Ma quanto sottolineato da von Hayek non ha nulla a che vedere, però, con quella trama di interrelazioni a cui lo stesso Autore faceva in precedenza riferimento. Occorre prendere atto, senza farsi suggestionare, che la finalità delle scienze sociologiche è totalmente differente rispetto alla finalità delle scienze giuridiche. D’altra parte, anche l’indagine sociologica ha a che vedere con l’azione cosciente di una molteplicità di persone quando, però, dà luogo a risultati inintenzionali e, come precisato dallo stesso von Hayek, “la riluttanza dello scienziato della natura ad ammettere l’esistenza di ordini di tal genere tra i fenomeni sociali è dovuta al fatto che questi ordini non si possono enunciare in termini fisici” (74).

Resta però il fatto che le strutture ci sono ed occorre allora riflettere su come trattarle dal punto di vista giuridico e, soprattutto, penalistico.

Il paradosso che viene sottolineato da von Hayek ci aiuta a comprendere l’errore metodologico in cui è caduto Mongillo ed a cui si faceva riferimento in precedenza. Sottolinea, infatti, l’Autore come la prova più significativa della debolezza congenita delle teorie collettivistiche è data dal paradosso per cui, muovendo dall’asserzione che la società è qualche cosa di più della mera aggregazione di tutti gli individui che la compongono, i loro fautori finiscono con l’abbracciare la tesi secondo la quale, per salvaguardare la coesione di questo ente maggiore, si deve sottrarlo al controllo cosciente, cioè al controllo di quella che non può che essere la mente di un singolo individuo (149). È, dunque, la teoria collettivistica ad esaltare la ragione dei singoli, sottoponendo tutte le forze della società alla direzione di un’unica mente sovrana, mentre è la teoria dell’individualista a riconoscere quanto siano limitati i poteri della ragione dei singoli.

Ma lo stesso errore viene commesso nel citare Max Weber. Weber sottolinea, infatti, come “la scienza sociale, quale noi intendiamo svilupparla, è una scienza di realtà. Noi vogliamo comprendere la realtà della vita che ci circonda, e in cui noi siamo collocati, nella sua specificità; noi vogliamo cioè comprendere da un lato la connessione e il significato culturale dei suoi fenomeni particolari nella loro configurazione presente, dall’altro i motivi del suo essere storicamente divenuto così-e-non-altrimenti”.¹⁶ E, ancora, secondo Weber, “il fine della considerazione sociologica – la «comprensione» - costituisce infine anche il motivo per cui la sociologia comprendente (nel nostro senso) tratta l’individuo singolo e il suo agire come l’unità minima, come il proprio «atomo»” (199). I concetti collettivi, come quelli di Stato o di corporazione, per la sociologia designano delle categorie di determinati tipi di agire umano collettivo e, dunque, devono essere ricondotti ad un agire intellegibile degli individui che vi partecipano. Ed è proprio in ciò, come sottolineato da Weber, che la considerazione sociologica si differenzia dalla considerazione giuridica. Così, lo stesso Weber evidenzia come la giurisprudenza tratti, in certe circostanze, lo Stato come una personalità giuridica al pari del singolo individuo in considerazione dell’utilità, o forse dell’indispensabilità, di un simile strumento concettuale. Precisa Weber come la sociologia, nel momento in cui prende in considerazione il diritto, ha a che fare non già con la determinazione del contenuto del diritto in senso oggettivo, di proposizioni giuridiche, bensì con un agire tra le cui determinanti occupano un posto di rilievo anche le rappresentazioni che gli uomini si formano del senso e della validità di alcuni principi giuridici (200). Weber stesso riconosce rilievo a quelle che vengono definite come le “forme di agire associato”, tra le quali le “unioni di scopo” costituiscono una “formazione sociale” non effimera, ma che tende a perpetuarsi (210). Si tratta di formazioni sociali che, nonostante il mutare degli individui partecipanti all’agire della società, continuano a considerarsi identiche a sé stesse. L’identità, sostiene Weber, è sociologicamente uno stato di cose che esiste solo relativamente, mentre gli individui associati nell’unione possono consapevolmente modificare gli ordinamenti mediante un nuovo agire associativo.

Gli enti collettivi rappresentano, dunque, categorie di tipi determinati dell’agire umano in società che va, però, ricondotto all’agire degli individui partecipanti. È, d’altra parte, lo stesso Weber a riconoscere che per differenti scopi conoscitivi o per fini pratici possa essere opportuno considerare le formazioni sociali come portatrici di diritti e di doveri, o anche come soggetti di azioni giuridicamente rilevanti. E ciò perché, come abbiamo detto in precedenza, la sociologia ha finalità diverse rispetto al diritto. Ciò non significa, necessariamente, che le azioni giuridicamente rilevanti lo siano anche per il diritto penale.

La sociologia è mossa dal fine di comprendere e spiegare i fenomeni sociali. Tuttavia, sostiene Weber che per l’interpretazione intelligibile dell’agire, a cui aspira la sociologia, gli enti collettivi rappresentano comunque processo e connessioni dell’agire sociale di singoli uomini. I concetti collettivi non vanno ipostatizzati, ma sono solamente delle rappresentazioni di qualche cosa che in parte sussiste ed in parte deve essere.

Weber sottolinea, dunque, ciò che evidentemente sfugge a Mongillo, vale a dire che il suo approccio individualista è funzionale all’indagine sociologica, ma che può rappresentare solamente il punto di partenza per una riflessione penalistica che deve essere condotta in piena autonomia.

Il tema è stato approfondito da Searle che, nell’introduzione a “La costruzione della realtà sociale”,¹⁷ ha sottolineato che “l’esistenza di fenomeni che non sono fisici o chimici in modo evidente dà luogo a perplessità”. Ed infatti, come sostenuto da Searle, “ci sono parti del mondo reale, fatti oggettivi nel mondo, che sono fatti soltanto grazie a un accordo tra gli esseri umani. In un certo senso, ci sono cose che esistono soltanto perché noi crediamo che esistano” (7). Non è semplice, cioè, secondo Searle, rendere conto dei fatti sociali dal punto di vista ontologico.

Uno dei concetti più interessanti della speculazione di Searle riguarda quella che viene definita come l’“intenzionalità collettiva”, quella predisposizione, cioè, non solo dell’uomo, ma anche di altre specie animali, di condividere stati intenzionali come credenze, desideri e intenzioni. Vi sarebbe, cioè, oltre all’intenzionalità individuale anche un’intenzionalità collettiva, che non può essere ridotta all’intenzionalità individuale (33).

La ragione per la quale, tradizionalmente, si è convinti che l’intenzionalità collettiva debba essere ricondotta all’intenzionalità individuale va ricercata nel fatto che, dal momento che l’intenzionalità esiste nella testa degli esseri umani individuali, la forma di tale intenzionalità può fare riferimento solamente agli individui nella testa dei quali essa esiste. È questo, secondo Searle, il vizio dell’individualismo metodologico (35).

Il cuore della riflessione di Searle prende a riferimento il momento in cui, attraverso l’intenzionalità collettiva, si impongono funzioni su fenomeni la cui funzione non può essere svolta solamente in virtù della fisica o della chimica, “ma richiede una cooperazione umana continuata nelle forme specifiche dell’identificazione, dell’accettazione e del riconoscimento di un nuovo status a cui è assegnata una funzione” (50). Si tratta, cioè, dell’imposizione intenzionale collettiva di funzione su entità che non possono svolgere quelle funzioni senza quell’imposizione. Laddove poi, aggiunge lo stesso Searle, “l’imposizione di una funzione di status secondo la formula diventa una questione di linea di condotta generale, la formula acquisisce uno status normativo” (58). Si pensi, ad esempio, alla consuetudine.

Interessante, per la nostra indagine, il fatto che Searle prenda a riferimento proprio il diritto penale, sostenendo come l’intero fulcro del diritto penale sia regolativo e non costitutivo (61). “Il punto”, dice Searle, “è quello di vietare, per esempio, certe forme di comportamento antecedentemente esistenti, come l’omicidio. Ma affinché le regole funzionino ci devono essere sanzioni, e ciò richiede l’imposizione di un nuovo status nei confronti della persona che viola la legge”.

Non si deve, dunque, cadere nell’equivoco di ritenere che la contrapposizione tra realismo ed idealismo sia legata all’esistenza o meno della materia, o riguardo agli oggetti nello spazio e nel tempo. Il realismo, infatti, non dice come sono le cose, ma solamente che c’è un modo in cui esse sono, e per cose non si intendono solo gli oggetti materiali o gli oggetti in generale (176).

Quanto precede, ad avviso di chi scrive, è la conferma dell’errore in cui cade Mongillo nel citare a sostegno della propria impostazione, che dovrebbe risolvere una questione strettamente giuridica, argomenti di natura sociologica. Il modus procedendi è piuttosto chiaro: la sociologia, che studia il comportamento degli individui e della società, non può che prendere a riferimento il comportamento dei singoli sia individualmente che collettivamente e, di conseguenza, anche il diritto non potrà che prendere a riferimento il comportamento dei singoli individui. Ma, per usare il linguaggio di Searle, mentre la sociologia usa un linguaggio solamente regolativo, il linguaggio giuridico è anche costitutivo. Il ragionamento presenta un evidente salto logico rappresentato dall’assunto indimostrato che sociologia e diritto rispondano a logiche e finalità comuni e che, quindi, essenzialmente, sebbene con prospettive differenti, abbiano ad oggetto la stessa materia. In pratica, secondo questo modo di ragionare, il processo di normazione avverrebbe esclusivamente normando fenomeni che sono già stati identificati dalla sociologia. Il diritto, cioè, non può prendere a riferimento fenomeni che non gli vengano consegnati e descritti dall’analisi sociologica.

Per evitare fraintendimenti, nessuno pone in dubbio l’importanza che l’analisi sociologica riveste per il mondo del diritto, ma il processo di normazione segue delle sue logiche autonome, elaborando concetti autonomi.

Che cosa vuol dire, infatti, ad esempio, affermare che dal punto di vista ontologico occorre domandarsi se esista l’ente o esista solamente l’individuo? Che vuol dire “esistere” per il diritto? Ed il significato di esistenza per il diritto corrisponde all’esistenza anche per la sociologia? È sin troppo evidente che, come propone l’approccio individualista, per studiare il comportamento degli enti occorre studiare il comportamento dei soggetti che li compongono, ma è altrettanto evidente che dal punto di vista giuridico a tali enti sono riconosciuti diritti e doveri. Per la realtà normativa l’ente esiste e la sua realtà viene regolamentata. Questo, quantomeno, è ciò che accade dal punto di vista del diritto privato o del diritto amministrativo.

Il problema si pone per il diritto penale, dove il discorso è sicuramente diverso.

Occorre cioè riflettere se anche per il diritto penale sia possibile riconoscere “personalità giuridica” agli enti collettivi. Se, cioè, il riconoscimento della personalità giuridica agli enti collettivi sia compatibile o meno con i principi e le categorie fondamentali del diritto penale e se tali principi e regole siano immutabili. Il diritto, anche il diritto penale, a differenza della sociologia, non deve infatti spiegare i comportamenti sociali ma li deve regolamentare.

Ciò che allora occorre fare è indagare sulla natura e le finalità del diritto penale, rispetto alla natura e alle finalità del diritto privato o del diritto amministrativo.

Diverso il discorso per il diritto penale, che abbiamo definito come il diritto della responsabilità. Ci si deve allora chiedere se il concetto di responsabilità, come inteso dal diritto penale nel nostro ordinamento, possa declinarsi anche in relazione agli enti collettivi e non soltanto in relazione ai singoli individui.

Il discorso non cambia neanche se da un punto di vista ontologico passiamo ad un punto di vista metodologico. Il fatto che non sia la società di capitali a prendere le decisioni, ma i soggetti che l’amministrano non ha mai rappresentato un problema nel riconoscere le società di capitali come soggetti del diritto commerciale a tutti gli effetti. Allo stesso tempo, però, il potere di prendere decisioni sembrerebbe rappresentare un requisito fondamentale della responsabilità penale. E le decisioni non le prendono gli enti, ma le persone che li rappresentano.

A conclusioni simili giunge anche la criminologia. Così, ad esempio, Cressey, (pag. 14), sosteneva che le società sono una sorta di entità “possedute”, gestite ed amministrate da persone.

Secondo Cressey, tra le teorie criminologiche circa l’origine del crimine, di grande rilievo appare sicuramente l’impostazione secondo la quale le società sono a tutti gli effetti persone che, come le altre, assumono obbligazioni.¹⁸ In questa prospettiva è la stessa società e non chi agisce per essa, che viene visto come attore. Cressey parla di “antropomorfizzazione” che, però, viene definita come una “legal fiction” secondo la quale, per l’appunto, la società è una persona capace di commettere un reato. Occorre allora riflettere, secondo Cressey, sul fatto che una simile impostazione è basata sull’assunto erroneo secondo il quale le organizzazioni pensano e agiscono. Il problema, sottolinea Cressey, è rappresentato dal fatto che se le società non fossero concepite come persone, nessuno potrebbe citarle in giudizio o anche solo concludere un contratto con esse. Il problema è che chiunque volesse davvero cercare di comprendere i white-collar crimes risulterebbe spiazzato dall’affermazione secondo la quale le società sono persone come le altre. Questo antropomorfismo appare fuorviante, dal momento che le società non “sanno” o “complottano”, ma sono delle entità “possedute”, gestite e amministrate da persone in carne ed ossa. Da qui Cressey afferma, dunque, che per ragioni di carattere pratico può anche essere necessario che il legislatore, i giudici ed i prosecutors ritengano che le società possano commettere reati, ma non ha senso che tale finzione possa essere mantenuta dagli scienziati (418). Chiaramente, sostiene Cressey, la criminalità delle società non può essere spiegata con gli stessi principi causali utilizzati per spiegare la criminalità delle persone fisiche. Nelle corti, infatti, l’affermarsi della finzione secondo la quale anche le società commettono reati, rappresenta una scossa al principio fondamentale del diritto penale secondo il quale l’attore deve agire con l’intento di commettere un reato.

Dunque, secondo Cressey, la vera ragione per cui si ammette la punibilità delle società è essenzialmente di natura pragmatica, per superare difficoltà di carattere probatorio circa le responsabilità dei dirigenti. Conseguenza di ciò è che seppure il legislatore, per ragioni di convenienza, possa prevedere una forma di responsabilità penale delle società, la criminalità aziendale non può certo essere spiegata dallo scienziato con gli stessi principi causali con cui si spiega la criminalità delle persone reali. I corporate crimes e gli organizational crimes sono, dunque, un fenomeno di pura finzione.

Ciò che qui interessa è che Cressey spiega perfettamente le diverse finalità dello scienziato e del giurista. Lo scienziato, infatti, deve spiegare i fenomeni, mentre il giurista deve preoccuparsi di concetti normativi come quello di responsabilità.

Ma, al di là di ciò, le ragioni di natura pragmatica che hanno portato diverse legislazioni a prevedere sia i corporate crimes che i c.d. “organizational crimes” non sono certo legate solamente a ragioni di carattere probatorio. Altrimenti, ai fini dell’irrogazione di sanzioni pecuniarie sarebbe stata certamente sufficiente la responsabilità civile o amministrativa.

Particolarmente significativo è quanto scrive Cressey in conclusione del suo lavoro (428). Cressey, infatti, afferma di non voler affatto sostenere che le società non commettano reati. I criminologi devono accettare che la legge tratti le società come persone. Ciò che Cressey intende è che dal punto di vista dell’analisi criminologica le società non possono essere intese come persone, ma l’analisi criminologica è sociologica. La criminologia è la sociologia dei comportamenti devianti.

Ancora una volta, dunque, il problema è di prospettiva. Non si possono, infatti, sovrapporre i profili di carattere sociologico o criminologico con quelli di carattere giuridico.

All’individualismo metodologico si contrappone, come detto in precedenza, il collettivismo metodologico. Secondo tale impostazione, i gruppi sociali non potrebbero essere raffigurati come semplici aggregati di persone ed il gruppo sarebbe qualcosa di più e di diverso rispetto alla somma dei membri che lo compongono.

Il primo ad aver elaborato una teoria realista della persona giuridica fu Otto von Gierke (Mongillo, pp. 105 e ss.), secondo il quale la persona giuridica sarebbe un organismo naturale, un fenomeno della vita sociale dotato di esistenza effettiva ancor prima di qualsiasi riconoscimento legislativo. L’insegnamento di Gierke venne valorizzato dal noto penalista von Liszt, capostipite della Scuola moderna del diritto penale.

Ancora una volta, però, Mongillo sembrerebbe fare una certa confusione di concetti. Un conto, infatti, è affermare che la persona giuridica sia un organismo naturale, altro è invece sostenere che la persona giuridica rappresenti un fenomeno della vita sociale dotato di esistenza effettiva prima di qualsiasi riconoscimento legislativo.

Diverso però il discorso che viene affrontato dalla sociologia nel tentativo di spiegare il comportamento di tali soggetti. Se, cioè, sia ipotizzabile una spiegazione dei comportamenti degli enti collettivi che non sia anche la spiegazione dei comportamenti dei singoli soggetti che li compongono. Che le persone giuridiche rappresentino un fenomeno della vita sociale non credo possa essere revocato in dubbio nemmeno dai sostenitori dell’individualismo metodologico.

Passata in rassegna anche l’evoluzione del collettivismo metodologico, Mongillo si schiera decisamente in favore della metodologia individualistica (40). Ciò perché qualsiasi assunto olistico circa l’esistenza di organismi intesi come soggetti autonomi, in grado di prendere decisioni, sarebbe tanto inutile quanto indimostrabile con gli strumenti del processo penale, ma anche dallo scienziato sociale. Rileva in proposito Mongillo come nei modelli filosofici dell’ente collettivo come “moral agent” risulti difficile cogliere la linea deduttiva che da un certo grado di complessità organizzativa culmini nella capacità dell’ente di esprimere delle proprie intenzioni, “In realtà l’ente è un insieme di relazioni e la responsabilità è sempre e solo colposa”. Si chiede, allora, la stessa dottrina citata se il fatto che l’ente non possa strutturalmente agire con dolo non rappresenti già questo la prova del fatto che non può essere soggetto penalmente responsabile. Ma per giungere a simili conclusioni non c’era certo bisogno di scomodare l’analisi sociologica.

E comunque l’affermazione di Mongillo prende le mosse da una concezione della colpa che è solo ed esclusivamente normativa, di contrarietà alle norme giuridiche dal contenuto precauzionale. Ma il problema circa la riconoscibilità di una responsabilità penale anche in capo agli enti non è tanto legato alla possibilità o meno di riconoscere l’ente come soggetto capace di intenzioni quanto, ancora prima, al fatto di riconoscere nell’azione posta in essere dall’ente un’azione cosciente e volontaria, così come richiesto dall’art. 42 del nostro codice penale.

Si possono allora elaborare, sempre sulla base della nostra Carta costituzionale, dei principi fondamentali per un diritto penale degli enti collettivi?

Rileva Mongillo come la norma comportamentale non può che essere indirizzata a soggetti razionali ed autocoscienti ed anche la nozione di cultura organizzativa non può prescindere dai soggetti che creano una simile cultura, dove il ruolo principale appartiene al c.d. top management (43).

Ma anche da parte della dottrina anglosassone (Laufer) è stato messo in dubbio il concetto di “colpa di organizzazione”. Osserva, infatti, in proposito la dottrina appena citata (11) come i prosecutors, nella repressione delle frodi aziendali, prendano di mira le condotte degli individui, per poi però parlare enfaticamente delle stesse frodi come di un problema organizzativo, interrogandosi in quali casi la responsabilità ed il rimprovero per la condotta di un individuo dovrebbe essere attribuiti alla società. L’Autore illustra la proposta di una Constructive Corporate Fault, che rappresenta un superamento del modello di imputazione del tutto fittizio e riconducibile alla responsabilità oggettiva, del diritto vigente. Tale modello di responsabilità parte dal presupposto che le persone giuridiche si distinguono dalle persone fisiche, tra le altre cose, sulla base della loro struttura, dei processi decisionali, del modo in cui operano e della loro complessità. Preso atto di questo, Laufer sostiene che l’intervento penale dovrebbe essere riservato solamente alle ipotesi in cui il reato sia stato commesso da soggetti le cui “azioni ed intenzioni sono collegate in modo tale da riflettere caratteristiche e qualità proprie della società”. Il riconoscimento di una volontà collettiva è giustificato solamente quando gli individui sono tra loro in una relazione tale per cui assumono finalità ed obiettivi diversi da quelli che avrebbero avuto singolarmente. La teoria della “Constructive Fault” consiste, dunque, nello spostare l’indagine verso l’identificazione di atti e di una volontà dell’organizzazione in quanto tale, anziché quella di un singolo soggetto. Ciò si base sul presupposto che “gli enti sono molto di più delle azioni di un singolo agente” (14).

Ma al di là del differente approccio metodologico, individualistico o collettivistico, ciò che rileva ai fini della nostra trattazione è che la responsabilità da reato oramai generalmente riconosciuta in capo agli enti, a prescindere dalla natura giuridica ad essa riconosciuta, penale o amministrativa, trova il suo fondamento nella c.d. “colpa di organizzazione”. Come rilevato anche da Mongillo, la responsabilità dell’ente si fonda su di un’organizzazione interna deficitaria, e tale modello di responsabilità appare sicuramente più in sintonia con il principio della personalità della responsabilità penale (192). È solo, infatti, una corretta organizzazione a consentire all’ente di andare esente da responsabilità, e la strada intrapresa in tal senso dall’Italia si sta via via estendendo anche ad altri paesi. L’adozione dei modelli organizzativi da parte delle società serve, infatti, a spezzare quel vincolo concorsuale o “pseudoconcorsuale” che si potrebbe potenzialmente instaurare tra l’autore del reato presupposto e l’ente nell’interesse del quale il reato si commette.

Ma, ancora una volta, Mongillo compie un salto logico. Se da una parte è vero che una responsabilità fondata sul difetto di organizzazione sembrerebbe essere in maggiore sintonia con il principio della personalità della responsabilità penale, lo stesso Mongillo dimentica però che ad agire sono le persone fisiche e non gli enti.

Al di là di ciò, nella ricostruzione dell’illecito commesso dall’ente occorre rilevare come anch’esso si componga di un fatto tipico, antigiuridico e colpevole. Una volta riconosciuta la natura colposa della responsabilità dell’ente ai sensi del D.Lgs. 231/2001, il problema è dunque rappresentato dalla difficoltà di individuazione e determinazione dei parametri alla stregua dei quali valutare la correttezza del sistema organizzativo e preventivo dell’ente. Si tratta, né più né meno, della medesima difficoltà che abbiamo evidenziato, più in generale, per le regole di corporate governance.

La dottrina statunitense (Miller) sottolinea come nelle società di grandi dimensioni, dove la responsabilità può essere diffusa e le decisioni vengono prese a differenti livelli, può essere difficile determinare se qualcuno avesse effettivamente le conoscenze e l’intento criminale in modo tale da poter stabilire la sua responsabilità oltre ogni ragionevole dubbio (pp. 230 e ss.). Rileva Miller come ciò sia particolarmente corretto quando occorre determinare la responsabilità degli amministratori o comunque degli “executives” di alto livello, che possono rimanere isolati nella loro attività quotidiana da dove si verifica l’illecito. Quando il reato non viene commesso direttamente da un amministratore o, comunque, da un soggetto apicale, a che titolo sarà possibile coinvolgerlo? Come ci siamo già chiesti in precedenza, che forma di responsabilità può derivare dalla mancata adozione di un corporate compliance?

Il problema, sottolinea ancora Miller, è rappresentato dal fatto che le società non sono essere umani (305), come è possibile allora riconoscere in capo ad una società la mens rea richiesta per la responsabilità penale? A ciò si aggiunga che le società non possono certo essere imprigionate o condannate a morte e quindi la sanzione più effettiva per tali realtà non può che essere la sanzione pecuniaria (in realtà, come previsto dal D.Lgs. 231/2001, anche le sanzioni interdittive possono avere una notevole efficacia). Ma la sanzione pecuniaria può essere irrogata anche attraverso un’azione civile che, peraltro, non presenta gli svantaggi, a livello di onore probatorio, e le garanzie costituzionali dell’azione penale. Come però detto in precedenza, la responsabilità civile non presenta lo stesso stigma e lo stesso grado di effettività della sanzione penale.

Vi è poi un altro problema rappresentato dal fatto che il peso della sanzione pecuniaria spesso viene sostenuto dagli azionisti che, però, non hanno alcuna responsabilità, mentre le società possono agire solamente tramite i loro “agenti” e gli agenti possono essere perseguiti in caso di violazione di legge. È il problema, a cui si è più volte accennato in precedenza, della personalità della responsabilità penale e del divieto di responsabilità per fatto altrui. Non v’è dubbio, infatti, che gli azionisti, così come anche altri soggetti, sostengono il peso della sanzione penale conseguenza della condotta di terzi.

Miller riconosce come a dispetto di quanto sostenuto e della profonda attenzione al fenomeno, la legittimità della responsabilità penale delle società rimane un fenomeno particolarmente complesso.

Si tratta comunque di una forma di responsabilità, come sottolineato da Miller, che ha dovuto fronteggiare diverse criticità, sollevate soprattutto da quella parte di studiosi di diritto penale che si erano espressi sull’impossibilità di conciliare i principi liberali in tema di responsabilità con le azioni poste in essere dai “nonhuman actors”, sulla scorta del noto principio “no soul to be damned and no body to be kicked”. In particolare non si riusciva a vedere l’utilità di riconoscere una forma di responsabilità penale in capo agli enti, posto che la sanzione ad essi applicabile è comunque una sanzione di natura pecuniaria.

A dispetto di ciò, rileva comunque Miller come la responsabilità penale delle società si sia sviluppata rapidamente nel sistema giuridico (pp. 306 e ss.), sulla base della dottrina già citata in precedenza del respondeat superior. Ed infatti, in tema di reati dei colletti bianchi, lo strumento rappresentato dalla responsabilità penale degli enti è diventato, soprattutto a livello federale, uno strumento centrale. La problematica, come evidenziato da Miller, si è sviluppata in tre direzioni: 1) la retribuzione nei confronti di entità giuridiche “non umane” è un non senso ed è inutile; 2) un profondo scetticismo sul fatto che il diritto penale possa effettivamente aggiungere un utile contributo alla regolamentazione delle società, nonostante queste possano soffrire esclusivamente di sanzioni pecuniarie; 3) un impulso popolare a condannare le società per i danni cagionati alle persone.

Preso atto di questo terzo indirizzo, l’Autore sottolinea come l’esistenza di un’influenza da parte dell’istituzione sul soggetto individuale spiega sia l’impulso ad incolpare le società e sia la ragione per la quale tale impulso possa influenzare il comportamento delle società rendendo meno attraente le condotte illecite.

Miller riconosce in tal modo alla responsabilità una nuova funzione sociale. La sanzione penale adottata nei confronti degli enti spiega, dunque, il suo effetto di prevenzione generale e di prevenzione speciale. Assume un’importanza rilevante per la politica criminale. Un’organizzazione può essere rimproverata per una condotta illecita con una sorta di valutazione morale caratteristica del giudizio penale e sulla base della relazione esistente tra l’organizzazione e l’illecito. Si tratta, ancora una volta, di un approccio di carattere normativo che prende atto delle istanze di punizione derivanti dalla realtà fenomenica e le traduce in concetti giuridici.

Venendo al nostro tema circa i riflessi della corporate governance e corporate compliance sulle responsabilità penali, sottolinea Miller come un’arma chiave nell’arsenale a disposizione contro la violazione di norme di regolamentazione sia rappresentato dai c.d. compliance programs interni. Tali compliance programs, che noi traduciamo nel nostro ordinamento come “modelli organizzativi”, per poter spiegare il loro effetto di esclusione o di mitigazione delle pene devono, però, essere effettivi. Il problema è, dunque, rappresentato dalla difficoltà di determinare quando i compliance programs possano ritenersi “effective”.

Occorre, comunque, tenere conto del fatto che ogni società ha una sua caratteristica, storia, cultura differenti e, dunque, qualsiasi tentativo di specificare gli ingredienti di un program effettivo a livello dettagliato non potrà che generare dei risultati fallimentari (19). Nessun organo regolatore, nessun prosecutor potrà sperare di conoscere i meccanismi interni di un’organizzazione meglio di un manager che spende nell’organizzazione la propria attività professionale. I requisiti di organizzazione, se articolati ad un eccessivo livello di dettaglio, sono destinati ad inefficienza, mentre l’approccio migliore per il Governo è quello di identificare dei componenti chiave e dei principi generali, lasciando poi la normativa di dettaglio alle singole organizzazioni.

A quanto precede si aggiunga che, come ancora sottolineato da Miller, i Governi tendono generalmente a richiedere un livello di compliance superiore rispetto a quanto non sia ottimale a livello sociale. Proprio per tali ragioni, le Corti dovrebbero valutare i programs limitandosi a valutare che non siano strutturati in maniera irragionevole e che non siano amministrati e gestiti in maniera irrazionale e disonesta. Un program effettivo deve, infatti, rappresentare un “porto sicuro” nei confronti della responsabilità e proprio tale ragione dovrebbe suggerire che un compliance program effettivo dovrebbe rappresentare una assoluta defense nei confronti della responsabilità.

Quanto precede deve fare i conti con il fatto che, come detto in precedenza, non è semplice stabilire quando un program possa essere considerato effettivo. Ed il fatto che sia occorsa una violazione non significa necessariamente il program fosse ineffettivo.

Volendo tirare le fila di questo complesso discorso, si deve necessariamente partire dal presupposto che il nostro legislatore, nel 2001, con il D.Lgs. n. 231, ha compiuto una scelta ben precisa nel riconoscere per gli enti una forma di responsabilità da reato, sebbene dalla natura incerta. Il fondamento di tale responsabilità, al di là di tutti i ragionamenti circa la possibilità di riconoscere anche per gli enti una responsabilità di natura penale, è stata ben individuata dalla dottrina statunitense (Miller), che ha sottolineato come l’impulso ad incolpare le società sia da rinvenirsi nell’esistenza di un’influenza da parte dell’istituzione sul soggetto individuale. L’ente è, dunque, responsabile quando il soggetto che pone in essere la condotta illecita non agisce per perseguire un proprio interesse, ma per perseguire l’interesse dell’ente stesso. Questa è stata la scelta del nostro legislatore che, all’art. 5 del D.Lgs. 231/2001 ha previsto che l’ente sia punibile solamente se il soggetto abbia agito nel suo interesse o vantaggio. C’è una sorta di “pressione morale” esercitata dall’ente sul soggetto ed è proprio questa pressione morale a rappresentarne il fondamento della responsabilità. Ed è proprio per questa ragione che la sanzione può davvero spiegare il suo effetto di prevenzione generale e di prevenzione speciale.

Una corretta governance ed una corretta compliance non possono allora non passare anche per una corretta gestione di quanto richiesto agli enti dal D.Lgs. 231/2001.

Il discorso, apparentemente semplice e lineare diventa più complesso se calato nella nostra realtà imprenditoriale, ancora legata ad un capitalismo di tipo padronale, dove il titolare dell’azienda che si percepisce come onesto e ritiene di agire onestamente fatica a comprendere il senso di tutta una serie di adempimenti di carattere formale che ne ingessano l’operato.

È difficile riconoscere nell’azienda padronale un’”anima” distinta da quella dei soggetti (rectius dal soggetto, il padrone) che la compongono. Si tratta di un discorso di carattere esclusivamente culturale, che poco ha a che vedere con l’aspetto normativo e, soprattutto, con la minaccia penale.

Ma come si è detto all’inizio del presente lavoro, l’imprenditore, anche se si percepisce come onesto, deve rendersi conto che il rischio penale prescinde del tutto dall’onestà o meno di chi fa impresa. L’attività d’impresa, infatti, è un’attività intrinsecamente pericolosa e solo un’attenta analisi e gestione del rischio possono mitigare anche il rischio di incorrere in responsabilità penali.