• Position Paper

1. Con un documento diffuso nei giorni scorsi (e qui allegato), Confindustria fornisce le “Prime indicazioni operative” in merito alla gestione de rischi derivanti dalla emergenza epidemiologica da Covid-19 nella prospettiva della responsabilità da reato degli enti collettivi ai sensi del d.lgs. n. 231/2001.

In sostanza, la principale associazione rappresentativa delle imprese italiane del settore manifatturiero e dei servizi interviene per indicare (recte: per suggerire) le corrette modalità di gestione organizzativa dei rischi-reato emersi a seguito dall’emergenza, in particolare in merito alla eventuale opportunità di apportare modifiche o aggiornamenti ai Modelli organizzativi, nonché per precisare i compiti incombenti sugli organismi di vigilanza in relazione allo svolgimento della propria funzione a margine della gestione dell’emergenza.

2. Quanto all’individuazione degli specifici rischi-reato strutturalmente derivanti dalla situazione emergenziale, Confindustria utilizza la dicotomia – già messa a fuoco nella prassi professionale[1] – tra rischi “diretti” e “indiretti”:

(a) i rischi indiretti sono quelli non immediatamente legati alla gestione sanitaria della pandemia, bensì derivanti dalle numerose modifiche della normale operatività aziendale “occasionate” dall’adeguamento, nello svolgimento dell'attività dell’impresa a tutti i livelli operativi, alle diverse esigenze imposte – sul piano normativo o su quello delle scelte gestionali di business – dalla gestione dell’emergenza. Le nuove attività che le imprese sono state chiamate a svolgere (o, più spesso, le innovative modalità di svolgimento di tradizionali attività gestionali) rappresentano infatti, nella logica del d.lgs. n. 231/2001, altrettante “attività sensibili”, cioè potenzialmente esposte alla commissione di illeciti già inclusi nel catalogo dei reati-presupposto. Attraverso sintetiche ma puntuali esemplificazioni, Confindustria evidenzia come tali nuove attività o modalità operative “innalzino” il rischio potenziale di realizzazione di una serie di fattispecie penali, che vanno dai reati contro la pubblica amministrazione, al caporalato, ai reati contro industria e commercio, ai reati di ricettazione e riciclaggio, fino ai reati di criminalità organizzata e ai reati informatici. Paradigmaticamente, si pensi solo alle nuove procedure semplificate per la partecipazione a gare d’appalto o ai finanziamenti pubblici e alle diverse tipologie di agevolazioni a cui le imprese potranno accedere per affrontare la crisi economica conseguente a quella sanitaria: sono attività criminologicamente molto esposte a rischi penali e che, prima dell’emergenza, da una parte erano gestite sulla base di procedure operative che non potevano tenere conto delle peculiarità normativa introdotte dalla legislazione emergenziale, dall’altra - per molte aziende - potevano rappresentare evenienze del tutto eccezionali e in quanto tali non adeguatamente mappate in sede di risk assessment.

(b) i rischi diretti sono invece quelli immediatamente derivanti dall’esposizione dei lavoratori al rischio pandemico del contagio, teoricamente idoneo a concretizzare una responsabilità (anche) per l’impresa ai sensi dell’art. 25-septies d.lgs. n. 231/2001 – cioè a titolo di lesioni od omicidio colposo come conseguenza della violazione di norme sulla tutela della salute sul lavoro –, qualora, in presenza di lavoratori contagiati, possa essere contestata la mancata attuazione delle necessarie misure cautelari di prevenzione. Si tratta tuttavia, anche in questo caso, di un rischio-reato che – nonostante la contingente eccezionalità della sua diffusività e la peculiarità delle sue caratteristiche biologiche – risulta già annoverato tra quelli che il MoG è funzionalmente destinato a gestire, come peraltro specificamente previsto dall’art. 30 d.lgs. n. 81/2008, che fa riferimento al fatto che i Modelli debbano assicurare “un sistema aziendale per l’adempimento di tutti gli obblighi giuridici”: ciò dovrebbe comportare la predisposizione di meccanismi organizzativi idonei a monitorare e ad assorbire tempestivamente le prescrizioni normative strumentali alla prevenzione dei rischi antinfortunistici, di qualsiasi natura essi siano.

Ebbene, in relazione alla gestione di entrambe le suddette tipologie di rischio, Confindustria precisa come un aggiornamento del MoG “non può essere ritenuto coma una conseguenza automatica dell’emergenza Covid-19". La ragione posta a fondamento di tale conclusione è succedanea a quanto sopra illustrato: le società sono chiamate a gestire rischi “riconducibili a fattispecie di reato già incluse nella disciplina 231 prima dell’emergenza e connotate da carattere della tendenziale trasversalità alle categorie di imprese, sotto il profilo sia dimensionale, sia merceologico”. Ciò fondamentalmente premesso, è quindi presumibile che un "buon Modello 231” abbia già mappato i rischi connessi allo svolgimento di tali attività e, conseguentemente, abbia predisposto i presidi di prevenzione e di controllo strumentali ad una loro adeguata gestione.

Tale affermazione, espressamente riferita ai rischi “indiretti”, è valida tanto più rispetto ai rischi “diretti”. Il position paper di Confindustria ribadisce infatti che, nella generale prospettiva di prevenzione del rischio antinfortunistico, il Modello 231 deve prevedere “il complesso dei presidi generali idonei ad assicurare, a valle e in loro attuazione, un valido ed efficace sistema gestionale, che contempli tutte le specifiche misure necessarie per l’adempimento degli obblighi giuridici a tutela della salute e sicurezza dei lavoratori”: in questa prospettiva, tutte le misure funzionali alla corretta gestione del rischio biologico da Covid-19 – in esecuzione del “Protocollo condiviso” tra Governo e parti sociali e dei successivi atti normativi (nomina di un comitato di crisi, adozione di specifici protocolli di comportamento, svolgimento di attività di formazione, predisposizione di un sistema di reportistica che assicuri il rispetto  delle misure etc.) – dovrebbero quindi costituire corretta “attuazione" di quanto (dovrebbe essere) già contemplato nel MoG.

3. Se tutto ciò è valevole come indicazione di carattere generale, si possono nondimeno presentare alcune situazioni rispetto alle quali un intervento sul Modello 231 – o quantomeno sulle procedure operative adottate in sua attuazione – può rendersi opportuno, se non addirittura doveroso nell’ottica della diligenza organizzativa rilevante ai sensi degli artt. 6 ss. d.lgs. n. 231/2001.

In sintesi estrema, è possibile enucleare almeno tre di tali situazioni (al netto dell’ipotesi di MoG già originariamente inadeguato):

(a) anzitutto, il caso in cui l’emergenza abbia dato l’input allo svolgimento di attività produttive o comunque di business del tutto nuove rispetto alla pregressa attività d’impresa: in questo caso, potranno emergere rischi non mappati – in quanto non mappabili – precedentemente, relativi alle peculiarità merceologiche della nuova area di produzione (o ad un’innovativa modalità produttiva o di fornitura di un servizio). Si pensi, a titolo di esempio, ad un’azienda che riconverta completamente la produzione[2], concentrandola su prodotti di tipo sanitario, in precedenza non trattati: ciò determina l’emersione di una serie di nuovi rischi penali – collegati esemplificativamente al sistema delle autorizzazioni e dei controlli, nonché alla tipologia dei nuovi clienti – che presumibilmente imporranno una nuova mappatura e una conseguente predisposizione ad hoc di misure organizzative di prevenzione. Lo stesso può accadere qualora, ad esempio, mutino strutturalmente le modalità di distribuzione dei beni commercializzati, passando da una vendita retail ad un sistema di consegna all’acquirente attuato innovativamente con mezzi propri, cioè attraverso una propria rete di trasporto e di logistica;

(b) in secondo luogo, si può presentare il caso in cui i rischi, seppure “trasversali” e dunque teoricamente già mappati e gestiti nel Modello 231, potrebbero essere privi di adeguati protocolli di prevenzione, che si rendono invece attualmente opportuni in ragione della maggiore rilevanza assunta, nelle dinamiche operative conseguenti all’emergenza, dallo svolgimento di determinate attività[3]: in sostanza, ciò può determinare un sensibile impatto sulla misurazione del “grado di rischio” inerente ad un’attività sensibile trasversale e, conseguentemente, suggerire l'adozione di nuovi e più incisivi presidi di organizzazione e controllo; ciò si potrebbe realizzare, a valle, attraverso l’implementazione di procedure operative, ma anche, a monte, attraverso l’introduzione all’interno del MoG di nuove sezioni di parte speciale e di nuovi protocolli specifici di comportamento;

(c) infine, quanto ai "rischi diretti", un aggiornamento del Modello 231 si imporrebbe – come sottolinea anche Confindustria – in relazione a quei MoG che abbiano recepito al proprio interno le specifiche regole cautelari di gestione del rischio antinfortunistico – cioè le norme che definiscono il sistema di gestione della sicurezza sul lavoro ai sensi del d.lgs. n. 81/2008 –, con ciò in parte discostandosi dalla logica del d.lgs. n. 231/2001, che dovrebbe solo garantire "l’organizzazione dell’organizzazione antinfortunistica”: in questi casi, evidentemente, ragioni di coerenza impongono di declinare anche le nuove norme cautelari, cioè specificamente strumentali alla prevenzione del rischio biologico da Covid-19, nel contesto delle prescrizioni contenute nel MoG (eventualmente, come suggerisce Confindustria, attraverso un mero addendum al Modello).

4. Coerente con tale impostazione è la parte relativa alla definizione del ruolo spettante all’Organismo di vigilanza nella gestione organizzativa dell’emergenza, che risulta compendiabile in un onere di “vigilanza rafforzata”: in sostanza, l’OdV deve continuare a svolgere la tipiche mansioni di controllo sulla corretta attuazione del MoG e sul suo tempestivo aggiornamento, ma nella consapevolezza delle peculiarità proprie della fase emergenziale in corso. Come ogni fatto della gestione societaria in cui l’esposizione a rischi penali risulti particolarmente sensibile – in ragione di eventi che indiziano circostanze sospette o rispetto ai quali sono rilevanti gli interessi in gioco –, anche l’emergenza epidemiologica impone una “presenza attiva” dell’organismo di controllo, funzionale ad assicurare il rigoroso rispetto delle prescrizioni normative rivolte all’ente, nonché di quelle auto-normate in funzione preventiva di possibili violazioni e commissione di illeciti. L’OdV deve quindi adempiere al dovere di  impulso rispetto a tutto quanto sopra illustrato, nonché al compito di monitoraggio sulla effettiva attuazione dei presidi di prevenzione adottati: ciò comporta un tendenziale incremento dei momenti di interlocuzione con i responsabili aziendali, soprattutto attraverso il meccanismo dei flussi informativi, che rappresenta anche un importante momento di responsabilizzazione dei soggetti aziendali tenuti a verbalizzare per iscritto il corretto adempimento degli obblighi normativi e procedurali[4].

5. Complessivamente, si tratta di suggerimenti operativi ragionevoli e condivisibili, peraltro pienamente corrispondenti all’approccio gestionale già suggerito dai professionisti della “compliance 231”[5], a conferma di una raggiunta “introiezione”, quantomeno nelle esperienze più virtuose, di quella che costituisce la logica sistematica sottesa al d.lgs. n. 231/2001: una logica di risk management orientata alla prevenzione dei rischi di commissione di fatti illeciti e sostanzialmente improntata alla predisposizione di una “organizzazione di secondo livello”, conformemente a quanto già da tempo puntualizzato, in termini teorici, dalla dottrina penalistica più autorevole e attenta allo studio di queste tematiche[6].

La presa di posizione della principale associazione rappresentativa delle imprese italiane svolge dunque un ruolo “confermativo” rispetto a metodologie di gestione e prevenzione dei rischi penali derivanti dall’emergenza già recepite nella (buona) prassi e la cui adeguatezza trova chiaro e decisivo fondamento nella logica consustanziale al d.lgs. n. 231/2001.

Una altrettanto logica conseguenza di quanto illustrato è che, quanto ai “rischi diretti”, l’adozione e l’efficace attuazione delle misure anti-contagio individuate negli atti legislativi e sub-legilslativi o nelle linee-guida di settore via via emanate (nonché primariamente nel "Protocollo condiviso”) non può che determinare l’esclusione della responsabilità penale del datore di lavoro – e della connessa responsabilità ex crimine della società – rispetto ad un eventuale contagio dei lavoratori. Tale conclusione costituisce piana applicazione dello schema imputativo della responsabilità colposa: le misure preventive specificamente normativizzate definiscono infatti le regole cautelari esigibili ai sensi dell’art. 2087 c.c., la misura della diligenza pretesa dall’ordinamento per la gestione dei rischi infortunistici derivanti dalla pandemia. In questa prospettiva, l’art. 29-bis, inserito - proprio su sollecitazione di Confindustria – in sede di conversione del “Decreto Liquidità” (d.l. n. 23/2020, convertito con l. n. 40/2020) – a norma del quale “ai fini della tutela contro il rischio di contagio da Covid-19, i datori di lavoro pubblici e privati adempiono all’obbligo di cui all’articolo 2087 del codice civile mediante l’applicazione delle prescrizioni contenute nel protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto il 24 aprile 2020 tra il Governo e le parti sociali, e successive modificazioni e integrazioni, e negli altri protocolli e linee guida di cui all’articolo 1, comma 14, del decreto-legge 16 maggio 2020, n. 33, nonché mediante l’adozione e il mantenimento delle misure ivi previste. Qualora non trovino applicazione le predette prescrizioni rilevano le misure contenute nei protocolli o accordi di settore stipulati dalle organizzazioni sindacali e datoriali comparativamente più rappresentative sul piano nazionale” – rappresenta quindi una disposizione simbolica a finalità rassicurativa, che nulla toglie e nulla aggiunge al paradigma tipico della colpa (e a quello della colpa organizzativa). Per quanto il position paper di Confindustria valorizzi tale disposizione normativa, in essa non è racchiusa alcuna eccezionale garanzia di impunità – che presumibilmente integrerebbe una irragionevole “norma penale di favore” – ma solo la doverosa garanzia di essere giudicati al parametro e nel perimetro di regole cautelari chiaramente definite e riconoscibili: una garanzia, anche questa, che tuttavia potrebbe rivelarsi illusoria[7], se si considera il carattere elastico di alcune prescrizioni cautelari contenute nella normativa emergenziale, nonché la necessità, in ogni caso, di concretizzare e individualizzare tanto il giudizio sulla colpa datoriale, quanto quello sulla colpa organizzativa.