L'adeguatezza del Modello 231. Tribunale di Milano, sentenza n. 1070 del 25 gennaio 2024: una pronuncia che sta facendo discutere

Il Tribunale di Milano, con la recente sentenza in commento, si distingue per una decisione attentamente motivata, che attinge, metagiuridicamente, a nozioni e concetti tipici del risk management e della gestione dei Sistemi di Controllo Interno.

Muovendosi nella traiettoria tracciata dalla Cassazione Penale nella nota Sentenza Impregilo (sentenza n. 23401/2022), la decisione in esame attesta come anche la giurisprudenza di merito provi – finalmente – ad emanciparsi dalla logica del post hoc, ergo propter hoc, che, troppo a lungo, ha condotto i giudici a “presumere” l’inadeguatezza del Modello adottato dall’ente a fronte dell’accertamento della commissione del reato presupposto, in assenza di un sindacato puntuale sull’idoneità e l’effettiva attuazione del Modello stesso.

Venendo al caso di specie, alla società coinvolta nel procedimento era stato addebitato l’illecito amministrativo ex art. 25-ter D.Lgs. n. 231/2001 per non aver adottato un modello di organizzazione e gestione idoneo a prevenire la commissione dei delitti di false comunicazioni sociali contestati agli amministratori.

In particolare, secondo la prospettazione accusatoria, l’inadeguatezza del Modello andava rinvenuta nella asserita assenza di una analisi del rischio-reato e di protocolli di prevenzione dei delitti in concreto contestati, resa manifesta dalla mancanza di “Parti Speciali” tra i documenti di sintesi del Modello.

Nel superare i rilievi dell’accusa, le motivazioni della sentenza esordiscono dalla definizione dei connotati di quello che potrebbe definirsi un “modello” di Modello: un compliance program “efficacemente strutturato” e, come tale, in grado di garantire all’ente l’esenzione da responsabilità ex D. Lgs. 231/2001.

Al di là delle considerazioni “didascaliche” che il Tribunale riserva ai contenuti costitutivi dei documenti di sintesi di cui deve comporsi tale Modello – ovvero la Parte Generale e la Parte Speciale (vero “cuore pulsante” dell’intero sistema) – è interessante constatare come la pronuncia attribuisca importanza cruciale all’attività di risk assessment, declinata – in un’analisi tecnica, pressoché inedita sino ad ora nel panorama giurisprudenziale – in tutte le sue fasi.

Richiamandosi alle indicazioni delle best practice, il Tribunale correttamente osserva che l’intero processo in esame muova da una calibrata attività di risk mapping, vale a dire di individuazione delle aree potenzialmente a rischio-reato, con particolare riguardo alle aree cc.dd. strumentali alla commissione dei reati contestati, in quanto connesse alla movimentazione finanziaria d’impresa ovvero alla sua rappresentazione contabile. In tale ambito, proseguono i Giudici, è fondamentale procedere all’isolamento dei processi e delle attività sensibili dai quali potrebbe derivare la commissione dei reati previsti, non trascurando di indicare anche le direzioni e i ruoli aziendali coinvolti. L’attività di risk assessment dovrà, poi, caratterizzarsi per una rilevazione e valutazione del grado di efficacia dei sistemi operativi e di controllo predisposti, con l’obiettivo di individuare eventuali criticità, nella commisurazione del c.d. livello di rischio residuo. Infine, il Tribunale non manca di osservare come una corretta valutazione del rischio reato non possa non tradursi nella descrizione delle possibili modalità di commissione dei reati, in relazione alle peculiarità operative dell’ente.

Oltre ad aver correttamente valorizzato l’importanza dell’attività di risk assessment, la sentenza in commento si contraddistingue altresì per aver sancito chiaramente come “il contenuto sicuramente più significativo del Modello 231” vada individuato nei protocolli di comportamento, da intendersi come il tessuto di regole e procedure in cui deve dipanarsi l’operatività d’impresa.

1. “l’indicazione di un responsabile del processo a rischio-reato, il cui compito principale è quello di assicurare che il sistema operativo sia adeguato ed efficace rispetto al fine che intende perseguire;
2. la regolamentazione del processo, ovvero l’individuazione dei soggetti che hanno il presidio di una specifica funzione, e ciò in osservanza del (..) principio di segregazione delle funzioni;
3. la specificità e la dinamicità del protocollo, laddove il primo requisito evoca la sua aderenza sostanziale rispetto al rischio da contenere, mentre il secondo presupposto attiene alla capacità del modello di adeguarsi ai mutamenti organizzativi che avvengono nella compagine sociale;
4. la garanzia di completezza dei flussi informativi, che rivestono un ruolo assolutamente centrale sul versante dell’effettività della cautela e, da ultimo, un efficace monitoraggio e controllo di linea, ovvero quelli esercitati dal personale e dal management esecutivo come parte integrante della propria attività gestionale e decisionale”.

Il Tribunale, infine – in aderenza, del resto, al dettato normativo di cui al D.Lgs. 231/2001 – ribadisce come, ai fini dell’esenzione da responsabilità, non sia sufficiente il corretto disegno delle cautele organizzative e gestionali, ma risulti indispensabile anche una loro “efficace attuazione”, stigmatizzando il ricorso alla compliance “di facciata” o “cosmetica” in cui l’ente si limita alla formalizzazione di principi e regole – frequentemente disancorati dalle peculiarità operative – senza curarsi della loro efficace e sistematica implementazione.

Esaurite le ampie premesse introduttive, i Giudici si risolvono nel vaglio della vicenda sottoposta al suo esame, pervenendo a conclusioni improntate ad un approccio sostanzialistico in merito alla idoneità del Modello della società imputata e alla conseguenziale esclusione della sua responsabilità.

E’ interessante, per l’appunto, notare come il Tribunale di Milano, nella decisione in parola, sembri affrancarsi da un giudizio di adeguatezza del Modello sorretto da criteri formalistici, che (troppo) frequentemente ricorrono nella giurisprudenza di merito.

Osserva, infatti, il Collegio che: “se, da un lato, è vero che il Modello del 2011 non contempla ‘formalmente’ la parte speciale”, è altrettanto vero che la società, prima dei fatti contestati, si era dotata di una serie di protocolli di prevenzione del rischio-reato, declinati in regole e procedure poste a presidio dei settori “nevralgici” dell’operatività aziendale, ove astrattamente collocare gli illeciti rilevanti.

In definitiva, per i giudici di merito, l’aspetto che più conta ai fini del riconoscimento dell’esimente è che vi sia prova dell’effettiva attuazione dell’attività di risk assessment e della concreta implementazione del sistema di gestione e controllo, a prescindere dalla formalizzazione delle cautele nei documenti di sintesi del Modello.

Seppure la sentenza in commento non sia completamente esente da censure, per aver omesso, inter alia, considerazioni più puntuali rispetto a quelli che, nel caso di specie, dovevano considerarsi i presidi di controllo funzionali alla prevenzione dello specifico rischio di false comunicazioni sociali in relazione alle condotte contestate – tanto più all’esito della richiamata Sentenza Impregilo, in cui il tema della c.d. “causalità nella colpa” (organizzativa) sembra trovare definitiva cittadinanza anche nella responsabilità amministrativa derivante da reato – costituisce indubbiamente una pronuncia di significativo rilievo.

La sentenza, infatti, con proprietà di linguaggio tecnico, si rivolge agli operatori del settore, fornendo concrete indicazioni sulle caratteristiche di idoneità ed efficace attuazione dei Modelli, aspirando ad assurgere a punto di riferimento giurisprudenziale, nelle determinazioni organizzative e gestorie d’impresa.