Rivista 231 Rivista 231
     HOME          CHI SIAMO     HANNO COLLABORATO    SHOPPING 231      COME ABBONARSI
Username: Password:
Lun, 27 Mag 2019
LE RUBRICHE


GLI INTERVENTI
ANNO 2019
ANNO 2018
ANNO 2017
ANNO 2016
ANNO 2015
ANNO 2014
ANNO 2013
ANNO 2012
ANNO 2011
ANNO 2010
ANNO 2009
ANNO 2008
ANNO 2007
ANNO 2006
ANNO 2005


LE NOTIZIE


UNI ISO 37001:2016 - L'INTEGRAZIONE CON I MODELLI ORGANIZZATIVI EX D.LGS. 231/2001 E CON I PIANI ANTICORRUZIONE EX LEGE 190/2012 - di Michele Pansarella e Claudia Pambianco



1. PREMESSA
Il 20 dicembre 2016 il Presidente dell'UNI (Ente Nazionale italiano di Unificazione) ha ratificato il corpo normativo UNI ISO 37001:2016 (di seguito la "Norma") che costituisce l'adozione nazionale (in lingua italiana) della norma internazionale ISO 37001 (edizione ottobre 2016) . La Norma si completa con l'Appendice A che fornisce una Guida per la sua attuazione (di seguito la "Guida").
Come noto, nel nostro ordinamento questa tipologia di norme non sono da ritenersi vincolanti al pari della normativa nazionale primaria (le leggi), ma nella gerarchia delle fonti è da collocarsi nel novero delle norme di rango internazionale tra cui al primo posto vi è la "consuetudine" o "prassi", quando generalmente riconosciuta. Pertanto, tali norme devono essere considerate consuetudini generalmente riconosciute a livello internazionale, grazie al ruolo svolto dalle istituzioni ISO.
Sin dal momento della emanazione, il mondo delle società (o più in generale degli enti collettivi) che operano nel nostro ordinamento si è posto il quesito se i "modelli di organizzazione, gestione e controllo per la prevenzione dei reati", previsti dal D.Lgs. 231/2001 (di seguito anche il "Decreto" o la "231") o i corrispondenti "Piani anticorruzione" previsti dalla Legge n. 190/2012 (di seguito anche la "190") per il mondo pubblico, fossero passibili di rientrare nello schema del sistema di gestione per la prevenzione della corruzione (di seguito anche solo il "Sistema") descritto dalla Norma oggi in esame.
Il presente contributo, quindi, si propone l'obbiettivo di effettuare un raffronto sistematico tra la Norma ed il D.Lgs. 231/2001 e la corrispondente L. 190/12 (c.d. "Legge Anticorruzione"), al fine di individuare quali, tra i requisiti previsti dalla Norma, siano rinvenibili nei Sistemi anticorruzione dei "modelli 231" e dei "Piani anticorruzione ex 190" ai fini di una loro possibile certificazione ai sensi della UNI ISO 37001:2016.
A tal fine, la metodologia applicata consisterà nel seguire pedissequamente la struttura della Norma (seguendo anche la struttura delineata dalla numerazione adottata dalla Norma) e per ciascun elemento evidenziare se il requisito descritto possa essere integrato dagli elementi costitutivi dei Sistemi anticorruzione generalmente adottati dagli enti e dalle società nell'attuale scenario.

2. INTRODUZIONE
La Norma apre con un paragrafo intitolato "Introduzione" la cui lettura fornisce subito alcuni spunti interessanti di riflessione.
Dopo un preambolo sul fenomeno della corruzione, dei suoi effetti negativi e sull'inefficacia della risposta normativa per la risoluzione del fenomeno, si chiarisce che la Norma "si ispira alle buone pratiche internazionali e può essere utilizzata in tutte le giurisdizioni", (a conferma di quanto detto in premessa con riguardo alla gerarchia delle fonti) e che la stessa "è applicabile a organizzazioni piccole, medie e grandi, di qualunque settore, compreso pubblico e privato e del no profit". In tal modo la Norma si propone come framework di riferimento valido sia per la normativa privatistica (D.Lgs. 231/01) che per quella pubblicistica (L. 190/12).
Interessante anche il passaggio in cui, simile ad una clausola di scarico delle responsabilità o disclaimer, si afferma che "l'aderenza (e quindi la certificazione, n.d.a.) al presente documento (cioè la Norma, n.d.a.) non può fornire la certezza che non si siano verificati o che non si verificheranno atti di corruzione, poiché non è possibile eradicare completamente il rischio di corruzione. Tuttavia, il presente documento può aiutare l'organizzazione ad attuare misure accettabili e proporzionate, ideate per prevenire, scoprire e affrontare la corruzione".
L'affermazione non è di poco conto in quanto, da un lato esprime un concetto oramai ben noto alle metodologie di risk assessment sin da quando queste sono state adattate per l'analisi di un fenomeno così particolare qual è appunto il reato (il concetto di rischio = 0), dall'altro, la stessa fornisce una prima risposta al tema del valore da riconoscere a questa Certificazione. Quest'ultima, infatti, una volta ottenuta da parte di una società che ha implementato un Sistema anti-corruzione, costituisce la riprova – attestata da un soggetto terzo specializzato – unicamente dell'esistenza e del funzionamento di un sistema preventivo composto da tutti gli elementi ritenuti, per prassi generalizzata, opportuni, ma la stessa non potrà mai escludere la sussistenza del fenomeno corruttivo. Ciò in quanto nel reato di corruzione la condotta, da cui discende il momento consumativo del reato, può consistere anche nella semplice "promessa" di denaro a altra utilità (non è necessario per la sussistenza del reato che alla promessa sia poi dato seguito). Sicché risulta assai difficile implementare meccanismi che consentano di impedire ad un soggetto dell'ente anche solo di "promettere". Diversamente, la condotta del "dare", poiché presuppone la possibilità di disporre del denaro, consente, invece, di ideare sistemi impeditivi di più agile attuazione.
Con riguardo alla 231 il tema della certificazione fu affrontato prima ancora del varo del Decreto, quando si scelse di escludere tale strada per non vincolare la discrezionalità del giudice nel valutare, caso per caso, l'idoneità del Modello ai fini dell'esimente.
Il tema fu poi ripreso in concomitanza dell'introduzione nella normativa sulla sicurezza dei luoghi di lavoro (D.Lgs. 81/08), quando fu introdotta una presunzione di idoneità del Modello con riguardo all'adozione di Sistemi di gestione certificati, con conseguente insolita inversione dell'onere probatorio nell'ambito del processo penale (dovrà essere il PM a dover dimostrare l'inidoneità del Modello nello specifico caso). Una simile disposizione normativa non è oggi presente nel panorama normativo riguardo a questa nuova tipologia di certificazione avente ad oggetto i sistemi anti-corruzione, ma è facile supporre che l'ottenimento della stessa possa costituire un elemento che non potrà essere totalmente ignorato in sede di valutazione del Sistema anticorruzione, sia esso un modello preventivo 231 o da un Piano anticorruzione.
Ad ogni modo, prima ancora di rispondere al quesito sul valore della certificazione (aspetto che verrà affrontato nelle conclusioni), è necessario verificare se lo schema della certificazione sia calzante rispetto alla struttura tipo dei modelli o dei Piani anticorruzione.

3. SCOPO E CAMPO DI APPLICAZIONE
Con riguardo al Capitolo N. 1 "scopo e campo di applicazione" si segnalano i seguenti punti di interesse.
In primo luogo la Norma chiarisce che "il sistema di gestione per la prevenzione alla corruzione" può essere integrato con gli altri sistemi di gestione. Ciò implica una affermazione di ordine pratico che sicuramente, ove seguita, genererebbe sinergie utili ad un buon funzionamento del sistema, in modo da evitare eccessive ridondanze nei sistemi di controllo, che troppo spesso si registrano nelle strutture organizzative dell'attuale realtà imprenditoriale a causa del proliferare di norme molto spesso non coordinate fra loro.
In secondo luogo, la Norma chiarisce che la stessa si applica unicamente alla "corruzione" al fine di "aiutare un'organizzazione a prevenire, scoprire e affrontare la corruzione, nonché a rispettare le leggi sulla prevenzione e lotta alla corruzione".
Da ciò emerge una prima differenza molto importante rispetto al mondo della "231" e della "190". Infatti, il D.Lgs. 231/01 si riferisce ad un novero di reati molto più ampio rispetto alla singola fattispecie di reato prevista agli artt. 318 e 319 del c.p.. D'altro canto, invece, la L. 190/12 ha optato per una definizione del concetto di "corruzione" più ampio rispetto a quello descritto dalla singola fattispecie di reato, fino ad abbracciare l'intero novero di tutti i reati contro la PA (tra cui, a titolo esemplificativo, il peculato, la malversazione, la concussione e ogni altro comportamento caratterizzato da un uso distorto della funzione pubblica) .
Da qui una prima conclusione importante: può essere certificata ai sensi UNI ISO 37001 solo una parte dei modelli "231" e dei Piani Anticorruzione ex "190", vale a dire quella parte relativa alla prevenzione della corruzione.
La Norma, poi, chiarisce che l'organizzazione può scegliere di estendere di fatto il sistema preventivo anche con riguardo ad altri comportamenti illeciti da cui ci si voglia difendere, ma (dobbiamo dedurre) non potendo per questi conseguire nessuna certificazione.
Sarebbe, pertanto, errato presentare la certificazione del modello ai sensi della ISO 37001 in un processo penale, ad esempio, sull'idoneità del modello preventivo con riguardo ad un reato di omicidio colposo mediante omissione in violazione della normativa antinfortunistica.
Infine, la Norma (nella nota 2 e poi nella Guida ai punti A.2 e A.8.4) tocca il tema della notoria distinzione tra corruzione "attiva" e corruzione "passiva", denominata, con una terminologia più tipica dell'organizzazione aziendale piuttosto che del diritto penale, come corruzione "in entrata" o "in uscita" (vedi punto A8.4 della Guida).
Sul tema ci preme evidenziare la enorme distanza che sussiste tra il livello raggiunto dal diritto penale dal punto di vista scientifico con riguardo al fenomeno della corruzione attiva, passiva e della concussione, grazie a secoli di studi e riflessioni sul tema, rispetto al tentativo goffo della Norma di dare sistematicità a fenomeni tanto differenti fra loro e complessi. Il risultato, infatti, è connotato da incompletezza e confusione. Un conto è il rischio che qualcuno all'interno dell'organizzazione effettui pagamenti al fine di ottenere vantaggi illeciti (corruzione attiva), un conto è che questi pagamenti vengano richiesti dai soggetti appartenenti alla PA (concussione), un conto è che soggetti esterni offrano denaro o altre utilità a soggetti appartenenti all'ente affinché operino in contrasto con le regole e gli interessi dell'ente a cui appartengono (corruzione passiva).
Il tema della corruzione passiva, poi, ha rappresentato sin dall'introduzione della L. 190/12 la grande differenza con la "231", in quanto in quest'ultima non è considerato il reato che viene commesso nell'esclusivo vantaggio dell'autore materiale del reato, che è ciò che solitamente avviene nella corruzione passiva. In altri termini, quando un soggetto appartenente all'ente viene corrotto, ad esempio da un fornitore esterno, nella stragrande maggioranza dei casi non sussiste l'interesse e/o vantaggio dell'ente e quindi neanche la responsabilità ex D.Lgs. 231/01, quanto piuttosto un danno. Ciò implica che nei modelli "231" non sono presenti sistemi preventivi nei confronti di ipotesi di corruzione passiva del personale, differentemente da quanto avviene nei Piani anticorruzione che sono principalmente pensati, invece, per l'ipotesi della corruzione del funzionario appartenente all'ente.
La questione non è di poco conto, in quanto ci si domanda se possa essere certificato un sistema preventivo che sia carente con riguardo alla corruzione passiva. La risposta negativa alla domanda vorrebbe dire che non possono essere certificati ai sensi della ISO 37001 i modelli 231 fintantoché non vengano estesi anche alle ipotesi di corruzione passiva.
Il punto A.2.2 della Guida "pagamenti agevolati o estorti", da un punto di vista squisitamente penalistico, annovera due ipotesi di corruzione: a) una ipotesi di corruzione attiva nei confronti di un pubblico ufficiale consistente in un pagamento non dovuto effettuato al fine di ottenere una prestazione richiesta o per "velocizzare" l'ottenimento della stessa (punto A.2.2.1 della Guida); b) una ipotesi di concussione o di corruzione passiva, cioè un caso in cui la richiesta di pagamento avvenga da parte di un soggetto esterno all'ente (tra l'altro non si specifica se appartenente alla PA o meno) a seguito di minacce. La Guida chiarisce che tale ipotesi è fuori ambito (punto A.2.2.2). Ma al successivo punto A.2.2.3, con il termine "dovrebbe" (sinonimo di raccomandazione), si elencano elementi di controllo che l'organizzazione "dovrebbe" implementare nel caso in cui un "qualsiasi membro del personale subisca tali richieste o domande di pagamenti", facendo, quindi, riferimento proprio all'ipotesi della corruzione passiva/concussione dichiarata fuori campo di applicazione.
Tra i diversi elementi che l'ente dovrebbe implementare (es.: una guida che spieghi al personale come comportarsi in caso di richieste di pagamenti), colpisce il suggerimento relativo alle azioni da intraprendere una volta che l'organizzazione sia chiamata ad affrontare lo spinoso caso in cui il pagamento sia avvenuto: "specificare le azioni da intraprendere da parte del personale qualora dei membri del personale abbiano effettuato un pagamento agevolato o qualora sia stato loro estorto: … (omissis) … 2) registrando debitamente il pagamento nei conti dell'organizzazione; 3) se del caso segnalando il pagamento all'autorità competenti". Ciò che lascia perplessi è constatare che la Norma intende approcciare un tema complesso e spinoso quale quello della constatazione da parte dell'organizzazione del fatto che un reato sia stato già commesso, senza alcuna sensibilità penalistica a riguardo. Cioè senza, ad esempio, considerare quali possano essere le responsabilità del management e della società. Appare opportuno, infatti, precisare che in un caso del genere il PM sarebbe tenuto ad esercitare l'azione penale anche nei confronti della società stessa, qualora sussista l'interesse e vantaggio, in virtù del principio penalistico della "obbligatorietà dell'azione penale".
Il Capitolo N. 3 "Termini e definizioni", contiene una interessante definizione della "corruzione" ai fini ISO 37001. In particolare, la corruzione viene definita come l'azione del "offrire, promettere, fornire, accettare o richiedere un vantaggio indebito di qualsivoglia valore (che può essere economico o non economico), direttamente o indirettamente, e indipendentemente dal luogo, violando la legge vigente, come incentivo o ricompensa per una persona ad agire o omettere azioni in relazione alla prestazione delle mansioni di quella persona" (3.1).
In base al nostro diritto penale, i termini "offrire" e "accettare", ancora una volta fanno esplicito riferimento alla distinzione tra corruzione attiva e passiva. A riprova di quanto detto in precedenza circa l'ambito di applicazione della certificazione ISO 37001.
Viene, inoltre, considerata anche l'ipotesi della corruzione indiretta, cioè mediante interposta persona. Inoltre, nel concetto di "vantaggio indebito di qualsivoglia valore", sia economico che non, è racchiuso il concetto di "denaro o altre utilità" della nostra fattispecie.
Interessante, anche notare come nella sostanza il nostro schema della c.d. corruzione "propria" o "impropria" (cioè quando l'atto è contrario a doveri d'ufficio oppure dovuto), "antecedente" o "susseguente" "(a seconda che il pagamento sia avvenuto prima o dopo l'atto), sia sostanzialmente ripreso dai termini "come incentivo" o "come ricompensa" in ragione del fatto che la definizione in esame intende fare espresso riferimento a quello che per il nostro diritto sarebbe il c.d. "atto contrario ai doveri d'ufficio" o "l'atto del suo ufficio" (cioè l'atto amministrativo proprio del Pubblico Ufficiale o dell'Incaricato di Pubblico servizio), definito come "agire o omettere azioni in relazione alla prestazione delle mansioni di quella persona.
Da questa definizione si comprende chiaramente come la ISO 37001, con riguardo al concetto di corruzione, si posizioni a metà tra la 231 e la 190, in quanto la definizione analizzata risulta più ampia di quella richiamata dal D.Lgs. 231/01 (che non considera l'ipotesi della corruzione passiva), ma più ristretta rispetto a quella considerata dalla L. 190/12 (vedi nota n. 2) che espressamente prescinde dall'atto del proprio ufficio, ma prende a riferimento la "maladministration". Escludendo, quindi, l'ipotesi di corruzione c.d. "impropria", cioè quella in cui il pagamento (non dovuto) viene effettuato non per forzare il Pubblico Ufficiale (che quindi opera correttamente), ma per ricompensarlo indebitamente .
Infine, un'ultima considerazione sul punto può essere condotta con riguardo alla frase "violando la legge", per niente affatto priva di conseguenze giuridiche e pratiche. L'aver riferito il pagamento alla violazione di legge significa, infatti, che, essendo la ISO 37001 adattabile a qualsiasi ordinamento giuridico, il Sistema-preventivo non dovrà prendere in considerazione quei pagamenti che in base alle regole dell'ordinamento in cui gli stessi vengano effettuati, non comportino una violazione di legge, in quanto questi non costituiscono "corruzione". Sul punto occorre evidenziare come, di contro, il nostro ordinamento possa ritenere sussistenti ipotesi di "corruzione internazionale" l'effettuazione di pagamenti nei confronti di soggetti, considerati in base al nostro diritto come appartenenti alla PA, e far derivare in tal modo una responsabilità in capo all'organizzazione anche quando ciò non sia considerato reato nel paese straniero in cui la stessa operi (art. 322-bis c.p.).
Sarà, quindi, opportuno che il Sistema anticorruzione definisca esattamente il concetto di corruzione preso a riferimento e l'ambito di applicazione rispetto all'attività dell'organizzazione, soprattutto, quando questa operi in diversi stati .

4. CONTESTO DELL'ORGANIZZAZIONE
Il Capitolo n. 4 "Contesto dell'organizzazione" affronta il tema della valutazione del rischio di corruzione. Tale valutazione poggia in primis su di una esatta comprensione dell'organizzazione e del contesto in cui la stessa opera (Punto 4.1) e sulle esigenze ed aspettative degli stakeholder (Punto 4.2).
L'organizzazione, quindi, dovrà, come già detto, definire bene i confini e l'ambito di applicazione del Sistema di gestione della prevenzione della corruzione in ragione dei fattori interni ed esterni all'organizzazione (dimensione dell'organizzazione, luoghi in cui opera, settore di mercato, obblighi e adempimenti di legge applicabili). Tutto ciò rappresenta la base per la conduzione di una tipica attività di risk assessment.
Al riguardo la Norma non si sofferma eccessivamente sulle metodologie da adottare, differentemente da come accaduto in occasione del varo del Decreto in cui, sia nella Relazione di accompagnamento che successivamente nelle Linee guida emanate da Confindustria, si fece espresso riferimento al Coso Report ed alla metodologia del Control Risk Self Assessment. Ad ogni modo, il Punto 4.5.1 costituisce un chiaro riferimento alle classiche metodologie di identificazione dei rischi, incluso un ordine di priorità, e dei controlli, secondo la nota distinzione tra As is and Gap Analysis (valutazione circa l'idoneità e l'efficacia dei controlli esistenti per contenere i rischi identificati ed identificazione delle azioni di miglioramento).
Ciò che colpisce dall'analisi della Norma rispetto all'attuale contesto di applicazione nella pratica delle leggi anti corruzioni vigenti (D.Lgs. 231/01 e L. 190/12), è che la Norma richiede espressamente che l'attività di valutazione del rischio di corruzione (Punto 4.5) consista in "valutazioni periodiche del rischio di corruzione".
Di contro, molto spesso è dato constatare che le organizzazioni affrontano un rilevante sforzo iniziale per condurre detta analisi, ma più raramente fanno sì che le stesse diventino un ordinario processo aziendale in grado di rilevare le eventuali modifiche che intercorrono successivamente a seguito di modifiche nell'organizzazione o di tipo normativo. Quelle a cui fino ad oggi abbiamo assistito - quantomeno con riferimento ai modelli 231 - sono state attività di aggiornamento delle c.d. "mappe dei rischi" unicamente con riferimento a nuove fattispecie di reato introdotte progressivamente nel corpo del Decreto, e non vere e proprie revisioni dell'intera analisi. Con la conseguenza che in molti casi, ad esempio, l'analisi relativa ai reati contro la PA risulta ancora oggi essere la stessa effettuata in occasione dell'adozione del modello, magari diversi anni indietro. Sarà, quindi, opportuno che i certificatori della ISO 37001 di domani, facciano una attenta analisi volta a verificare i meccanismi di aggiornamento delle mappe dei rischi dei sistemi anticorruzione. In altri termini, è necessario che l'organizzazione non solo effettui la mappatura iniziale, ma preveda specifici e concreti meccanismi che consentano all'organizzazione di aggiornare la valutazione dei rischi. L'occasione potrebbe essere proprio nella fase del riesame, cioè quando "annualmente la stessa organizzazione provveda a valutare i cambiamenti intercorsi" (Punto 4.5.3).
Tale valutazione da parte dei certificatori dovrebbe essere facilitata dal requisito previsto sia al Punto 4.3 che dal Punto 4.5.4, lì dove la Norma prevede che, sia l'analisi del contesto di riferimento che la valutazione annuale del rischio, siano state condotte e utilizzate eventualmente per migliorare il sistema, tramite "informazioni documentate".
Le informazioni documentate sono chiaramente definite dal Punto 3.14 come quelle "informazioni che devono essere controllate e conservate da parte dell'organizzazione incluso il supporto che le contiene". Ciò significa che in sede di certificazione il certificatore dovrà trovare traccia di detta analisi periodica in un documento che dimostri l'effettivo svolgimento dell'analisi, la metodologia applicata e i risultati in termini di azioni di miglioramento.
A tal riguardo si suggerisce di considerare questo aspetto nel momento in cui, in sede di ideazione del Sistema, si effettui la valutazione delle "risorse" che l'org.....

 

Il seguito è riservato agli Abbonati

Scelga l'abbonamento più adatto alle Sue esigenze