1. Con la sentenza n. 4677 la Corte di Cassazione sancisce un importante principio di diritto in materia di responsabilità dell'ente ai sensi del D.Lgs. n. 231/01, prendendo posizione in merito alla concreta declinazione del requisito dell'elusione fraudolenta del modello organizzativo, necessario per mandare assolto l'ente ogniqualvolta il reato presupposto sia stato commesso da soggetti in posizione apicale.

La sentenza - che ha annullato una delle più rilevanti pronunce di assoluzione di un ente, imputato ai sensi del D.lgs. n. 231/01 - si segnala inoltre per l'adozione di canoni di diligenza particolarmente elevati e per lo scarso rilievo attribuito alle best practices proposte dalle associazioni di categoria per la costruzione dei modelli di organizzazione, gestione e controllo: aspetti che non mancheranno di suscitare reazioni critiche, in special modo in ambito imprenditoriale.

2. Con sentenza del 28 giugno 2012 (già pubblicata su questa Rivista con nota del sottoscritto: clicca qui per accedervi), la Corte d'Appello di Milano confermava l'assoluzione già pronunciata dal giudice di prime cure della società Impregilo, imputata per fatti di aggiotaggio in relazione ai quali erano stati condannati il presidente del consiglio di amministrazione e l'amministratore delegato della società.

Perno delle sentenze di assoluzione dell'ente era stato, tanto in primo quanto in secondo grado, la valutazione di adeguatezza del modello di organizzazione e gestione adottato dall'ente: la Corte d'Appello, in particolare, aveva apprezzato la tempestività nell'adozione del modello da parte dell'ente imputato, risalente ai mesi immediatamente successivi l'introduzione della disciplina in materia di responsabilità amministrativa dell'ente, e la sua piena conformità tanto ai criteri sanciti dall'art. 6 del decreto, quanto - e soprattutto - alle linee guida proposte da Confindustria ed alle previsioni del codice di autodisciplina di Borsa italiana.

Ad avviso del collegio giudicante, dirimente sotto il profilo dell'efficacia del modello appariva, inoltre, la costituzione di un apposito organismo di vigilanza (di seguito anche 'odv') "sganciato dalla direzione ed amministrazione della società" e posto alle dirette dipendenze del presidente del consiglio di amministrazione: ufficio affidato ad un "soggetto di provata esperienza e professionalità nello svolgimento dell'attività di vigilanza" (nel caso in questione, l'incarico di odv era stato conferito al responsabile dell'internal auditing, il quale ricopriva inoltre la carica di compliance officer; contestualmente, la funzione di internal auditing, originariamente riportante alla funzione direzione finanza, amministrazione e controllo della società e, quindi, ad una struttura gerarchicamente sottoposta all'amministratore delegato, era stata posta a diretto riporto del presidente).

D'altra parte, con riferimento al rischio di realizzazione del delitto di aggiotaggio, il modello incorporava anche una specifica procedura per la comunicazione all'esterno di documenti e informazioni "price sensitive", la quale prevedeva il coinvolgimento, in fase di redazione della bozza del comunicato, sia delle funzioni aziendali coinvolte nell'operazione oggetto della comunicazione, sia dell'ufficio relazioni esterne; l'approvazione e l'emissione del comunicato erano quindi riservate al presidente del consiglio di amministrazione ed all'amministratore delegato della società, i quali, nell'effettuare dette attività, erano chiamati ad attenersi "alla più rigorosa deontologia professionale nel diffondere le notizie destinate al pubblico degli investitori e degli altri operatori del mercato con completezza, tempestività, adeguatezza e non selettività dei dati da comunicare".

Nel caso di specie, l'aggiotaggio era stato consumato dal presidente e dall'amministratore delegato dell'ente intervenendo nella fase conclusiva dell'iter di formazione di comunicazioni price sensitive; in particolare, i vertici avevano manipolato i contenuti di alcuni comunicati stampa immediatamente prima della loro divulgazione al mercato.

La Corte d'Appello aveva pertanto conclusivamente rilevato che "il modello organizzativo era corretto, valido e in sé efficace (...); esso risulta violato ed eluso dai vertici della società; si tratta di elusione fraudolenta in quanto (...) anziché approvare i dati e la bozza di comunicato elaborati dagli uffici manipolavano i dati medesimi per poi inserirli nel comunicato stampa".

Ed ancora, in ordine alla natura fraudolenta dell'elusione del modello, la Corte aveva osservato: "indubbiamente la frode (...) deve riguardare non già gli operatori del mercato cui l'informazione è diretta, ma gli altri protagonisti della procedura (...); nel caso di specie v'è stata manipolazione dei dati forniti dagli uffici competenti della società e tale comportamento non può non qualificarsi come frode ai danni di altri protagonisti della procedura prevista dal modello organizzativo".

3. Avverso la sentenza ricorreva per cassazione il procuratore generale presso la Corte d'Appello di Milano, deducendo l'esistenza di un errore logico-giuridico nella motivazione: ad avviso dell'organo d'accusa, infatti, la manipolazione delle informazioni operata dai vertici dell'ente non avrebbe costituito una frode, ma una mera elusione del modello, posto che i vertici dell'ente alterarono e diffusero il comunicato senza ricorrere ad alcun artificio.

La Suprema Corte ha accolto il ricorso, annullando la sentenza di assoluzione e rinviando ad altra sezione della Corte d'Appello di Milano con una pronuncia che si segnala per ampiezza delle tematiche affrontate e per profondità di analisi.

Ad avviso della Corte di legittimità, le condotte dei vertici non costituirono un'elusione fraudolenta del modello; al tempo stesso - e contrariamente a quanto sancito nelle sentenze di merito - le concrete modalità di realizzazione del reato commesso dai vertici dell'ente palesarono, per i giudici di legittimità, significativi deficit di efficacia del modello adottato da Impregilo.

Tali conclusioni costituiscono peraltro l'approdo di un elaborato percorso interpretativo sviluppato dalla Corte in motivazione, nel quale sono trattati alcuni tra i temi più spinosi della disciplina che ha introdotto una responsabilità 'amministrativa' dell'ente per i reati commessi dai vertici e dal personale.

4. Il primo e più significativo contributo offerto dalla Corte di Cassazione con la sentenza in commento è costituito dalla riflessione in merito alla definizione di 'elusione fraudolenta' del modello da parte dei vertici autori di un reato presupposto, la cui prova costituisce per l'ente imputato, ai sensi dell'art. 6 co. 1 lett. c, un fondamentale step probatorio verso una pronuncia favorevole (com'è noto, l'ente è altresì chiamato a dimostrare di aver adottato ed efficacemente attuato un modello idoneo a prevenire reati della specie di quello verificatosi, nonché di aver affidato ad un organismo di vigilanza il compito di assicurare il funzionamento, l'aggiornamento e l'osservanza del modello).

La Corte, facendo propria una definizione già proposta dall'accusa ed accolta nella sentenza impugnata, afferma anzitutto che "l'inganno (...) di cui all'art. 6 comma 1 lett. C) D.lgs. 231/2001 è evidentemente diretto verso la struttura aziendale nel cui interesse è stato predisposto il modello organizzativo e gestionale di cui alla lett. a del predetto comma primo": in altre parole, per valutare se di elusione fraudolenta si è trattato, va accertato che la condotta tenuta dai vertici sia stata diretta ad ingannare proprio gli altri soggetti che, secondo la procedura, concorrono con il vertice nella realizzazione delle attività 'a rischio'.

Stabilita la prospettiva dalla quale l'interprete è chiamato a valutare l'esistenza di una 'violazione' del modello, la Suprema Corte si sofferma sul concetto stesso di elusione fraudolenta.

Sul punto il giudizio è tranciante: l'elusione fraudolenta "non può consistere nella mera violazione delle prescrizioni contenute nel modello", lo stesso concetto di frode - "la fraus legis facta di romanistica memoria", evoca la Corte in motivazione - descrive piuttosto "una condotta ingannevole, falsificatrice, obliqua, subdola".

Pertanto, ad avviso della Corte di legittimità, l'operato dei vertici in violazione del modello deve tradursi in "una condotta di 'aggiramento' di una norma imperativa, non [in] una semplice e 'frontale' violazione della stessa".

5. Com'è noto, l'ente risponde se la condotta illecita sia stata 'agevolata' da un modello di organizzazione, gestione e controllo inidoneo ad "impedire che i vertici dell'azienda (...) commettano determinati reati".

La sentenza in commento si segnala, anche su questo versante, per le interessanti posizioni assunte sul ruolo svolto dai 'codici di comportamento' promossi dalle organizzazioni di categoria e, più in generale, sui caratteri che connotano un modello che ambisce ad essere giudicato idoneo.

La Corte di Cassazione ricorda, anzitutto, che il giudizio di 'colpa' dell'ente si fonda sul terreno dell'adeguatezza del modello: "non si tratta (...) di responsabilità oggettiva, atteso che l'oggetto dell'esame (l'articolato normativo che esplicita un protocollo comportamentale) è comunque conseguenza di un'attività volontaria e consapevole di chi lo ha elaborato, approvato e reso esecutivo, ma si tratta, invece, di un giudizio strettamente normativo".

La norma d'obbligo su cui fondare la valutazione di adeguatezza (o di inadeguatezza) del modello dovrà pertanto essere 'costruita' dal giudice, mediante l'analisi critica delle regole introdotte dall'ente per fronteggiare il rischio di commissione di reati da parte dei vertici e del personale.

L'introduzione puntuale dei modelli proposti dalle organizzazioni di categoria infatti non basta: ad avviso della Corte, "non opera alcuna delega disciplinare a tali associazioni e alcun rinvio per relationem a tali codici", essi possono costituire "un paradigma", ma il modello da adottare "deve poi essere 'calato' nella realtà aziendale nella quale è destinato a trovare attuazione".

D'altra parte - osservano ancora i giudici di legittimità, non senza una vena polemica - "il fatto che tali codici di comportamento siano comunicati al Ministero di Giustizia, che, di concerto con gli altri ministeri competenti, può formulare osservazioni, non vale certo a conferire a tali modelli il crisma di incensurabilità, quasi che il giudice fosse vincolato ad una sorta di ipse dixit aziendale e/o ministeriale, in una prospettiva di privatizzazione della normativa da disporre per impedire la commissione di reati".

Pertanto, conclude la Cassazione sul punto, "il giudice [nella valutazione di adeguatezza del modello adottato dall'ente] dovrà far riferimento - com'è ovvio - alle linee direttrici generali dell'ordinamento (e in primis a quelle costituzionali: cfr. art. 41 comma terzo), ai principi della logica e ai portati di consolidata esperienza". 

6. Che cosa deve prevedere, allora, un modello efficace? La pronuncia della Corte di legittimità si sofferma su un profilo particolarmente rilevante nell'economia del sistema normativo approntato dal d.lgs. n. 231/01, e cioè l'aspetto dei controlli.

Noto è infatti che, ai sensi dell'art. 6 co. 1 lett. b), un modello efficiente deve conferire il compito di vigilare sul funzionamento e sull'osservanza delle proprie regole ad un organo "dotato di autonomi poteri di iniziativa e controllo".

Sul punto la sentenza pare assumere, in prima battuta, una posizione molto netta: "perché iniziativa e, principalmente, controllo, siano effettivi e non meramente 'cartolari', si deve presupporre la non subordinazione del controllante al controllato. Tanto ciò è vero - prosegue la Corte - che il comma secondo del medesimo articolo prevede (sub d) obblighi di informazione nei confronti dell'organo di vigilanza, evidentemente per consentire l'esercizio "autonomo" del potere (di vigilanza, appunto), nonché (sub e) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello".

La questione è delicata, in quanto si adombra - per l'ipotesi di reati commessi dai vertici dell'ente - una supervisione sull'operato del massimo esponente aziendale ad opera di un'ulteriore struttura. La Corte, pertanto, 'corregge' l'affermazione, ipotizzando poco oltre una forma 'attenuata' di controllo: "così stando le cose, se all'organo di controllo non fosse nemmeno concesso di esprimere una dissenting opinion sul 'prodotto finito' (rendendo in tal modo, almeno, manifesta la sua contrarietà al contenuto della comunicazione, in modo da mettere in allarme i destinatari), è evidente che il modello organizzativo non possa ritenersi atto ad impedire la consumazione di un tipico reato di comunicazione, quale (...) è l'aggiotaggio".

In conclusione, ad avviso della Corte l'efficacia del modello va misurata anche, e soprattutto, sull'ampiezza dei poteri conferiti all'organismo di vigilanza, il quale dev'essere posto nelle condizioni di impedire la commissione di attività illecite, o, quantomeno, deve poter lanciare un 'segnale d'allarme' in presenza di condotte dei vertici sintomatiche di un reato.

7. Sancite le coordinate teoriche, i giudici di legittimità si soffermano pertanto sul caso concreto, rilevando che - contrariamente a quanto statuito nelle due sentenze di merito - nel caso in esame non sussistono i presupposti per ritenere integrati gli obblighi probatori richiesti dall'art. 6 del d.lgs. n. 231/01 per mandare assolto l'ente.

La condotta dei vertici non costituì, ad avviso della Corte, un'autentica elusione fraudolenta: "la sentenza impugnata sembra ravvisare la condotta fraudolenta [dei vertici] nella semplice alterazione/sostituzione della bozza elaborata dagli organi interni di Impregilo. Se così stanno le cose - chiosa la Corte - si deve giungere alla conclusione che ci si trova in presenza di un abuso (cioè dell'uso distorto di un potere), non di un inganno (vale a dire di una condotta fraudolenta)".

Inoltre, ad avviso della Suprema Corte anche il modello di organizzazione, gestione e controllo adottato dall'ente non poteva definirsi adeguato ed efficacemente attuato, nonostante avesse fatto proprie le proposte delle organizzazioni di categoria, ed in particolare di Confindustria e Borsa Italiana: in relazione al rischio reato costituito dall'aggiotaggio, il modello adottato da Impregilo avrebbe infatti mostrato i propri limiti nel momento della diffusione dell'informazione 'price sensitive'.

La Cassazione rileva al riguardo che "l'aggiotaggio (...) è, per così dire, un "delitto di comunicazione" (...). E' dunque, appunto, sul versante della comunicazione che il modello (e dunque il controllo) avrebbe dovuto mostrare la sua efficacia".

A mancare, in particolare, sarebbe stato un adeguato controllo da parte dell'organismo di vigilanza, posto che l'approvazione definitiva del comunicato e la successiva emissione erano sottratti alla supervisione del controllore: in queste condizioni, osserva la Corte, "il controllo previsto dall'art. 6 si ridu[ce] a mero simulacro, in quanto esso si esercit[a] su un comunicato in fieri, ma non sulla versione definitiva (quella destinata alla diffusione)".

In relazione al rischio reato costituito dal delitto di aggiotaggio, un modello che ambisca ad andare esente da censure dovrà pertanto conferire al controllore poteri idonei ad assicurarne l'intervento soprattutto nella fase di diffusione delle comunicazioni al mercato.

8. La sentenza in commento ha il grande merito di fornire precise coordinate in ordine alla declinazione concreta del requisito dell'elusione fraudolenta del modello di organizzazione, gestione e controllo dell'ente: condizione imprescindibile per 'provare' l'innocenza dell'ente imputato ex d.lgs. n. 231/01 per reati commessi dal vertice, l'elusione fraudolenta del modello - al pari della misura dell'idoneità e dell'efficacia del modello - rappresenta un tema privo, a tutt'oggi, di solidi approdi giurisprudenziali, utili a fornire precise indicazioni anche nella fase 'costruttiva' dei protocolli di gestione (per un'interessante riflessione sul punto v. Vizzardi, Prevenzione del rischi reato e standard di adeguatezza delle cautele: i modelli di organizzazione e di gestione di società farmaceutiche al banco di prova di un'indagine peritale, in Cass. pen. 2, 2010, 1246).

Significativa, in particolare, è la teorizzazione del requisito di frode in danno degli altri soggetti coinvolti dai protocolli di gestione nel compimento di attività 'a rischio', mediante la quale la Corte di legittimità conferisce un'autorevole indicazione in ordine alla prova che dovrà essere fornita dalla difesa dell'ente imputato nelle aule di tribunale.

La cristallizzazione di canoni probatori scongiura altresì il rischio di un progressivo 'scivolamento' dell'imputazione ai sensi del d.lgs. n. 231/01 per i reati dei vertici verso autentiche forme di responsabilità oggettiva, richiamando l'interprete ad un'attenta valutazione dei profili di colpa dell'ente (in ordine alla natura di responsabilità sostanzialmente oggettiva dell'imputazione ex art. 6 v. Bernasconi, sub. art. 6, in Presutti-Bernasconi-Fiorio, La responsabilità degli enti, Padova, 2008, 150; con riferimento alla tesi dottrinale che riconduce, per contro, la responsabilità dell'ente alla logica dell'immedesimazione organica con i suoi soggetti apicali v. Forti, uno sguardo ai "piani nobili" del d.lgs. n. 231/01, in Riv. it. dir. proc. pen., 2012, IV, 1249 ss.).

9. La sentenza non mancherà tuttavia di suscitare riflessioni critiche per i passaggi che hanno ad oggetto la rilevanza (o, diremmo meglio, la sostanziale irrilevanza) dei codici di comportamento promossi dalle associazioni di categoria e la necessità di un controllo pervasivo anche in merito ad attività 'sensibili' compiute dai vertici aziendali.

Con riguardo al ruolo da attribuire alle best practices aziendali, le nette affermazioni della Corte paiono attribuire ben poco credito alle linee guida promosse dalle organizzazioni di categoria, le quali pure avrebbero dovuto ricoprire, nell'auspicio degli autori, "un importante ruolo ispiratore nella costruzione del modello e dell'organismo di controllo" (cfr. Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d.lgs. 231/2001, vers. 31 marzo 2008, 11).

La sostanziale bocciatura delle linee guida delle associazioni di categoria è in linea con il giudizio espresso da un'attenta voce dottrinale, la quale attribuisce a detti documenti una funzione "prevalentemente pedagogica", in quanto privi del grado di dettaglio necessario per declinare concretamente le cautele dirette a contrastare il rischio di commissione dei reati presupposto (Piergallini, Paradigma dell'autocontrollo penale (dalla funzione alla struttura del "modello organizzativo" ex d.lgs. n. 231/2001), in Cass. pen., 2013, 842 ss.).

Per altro verso, la liquidazione degli unici modelli a disposizione dell'ente nella difficile opera di costruzione di protocolli di gestione dei rischi-reato non può non suscitare perplessità, anche in considerazione dell'inevitabile smarrimento che determinerà in capo agli enti ed ai consulenti chiamati ad 'ideare' nuove e più pervasive modalità di gestione e controllo del rischio-reato.

Nulla quaestio in merito alla natura non vincolante dei protocolli sviluppati dalle associazioni di categoria; tuttavia, la scelta del legislatore di inserire - e proprio all'interno della norma che disciplina la responsabilità dell'ente per i reati commessi dagli apicali - un'apposita previsione che riguarda i codici di comportamento promossi dalle associazioni di categoria non può essere considerata del tutto irrilevante: piuttosto, il legislatore parrebbe aver individuato nelle best prectices di settore un modello di riferimento anche per le valutazioni a cui è chiamato il giudice nell'esaminare i profili di 'colpa' dell'ente.

10. Con riguardo, infine, ai requisiti di indipendenza ed ai poteri di intervento che, ad avviso della Cassazione, deve possedere l'organismo di vigilanza, vanno compiute alcune precisazioni.

Per un verso, la Corte afferma il principio secondo cui l'organismo di vigilanza dev'essere indipendente dai 'controllati', e dunque anche dai massimi vertici aziendali (presidente ed amministratore delegato), i quali potrebbero commettere i reati presupposto per fondare la responsabilità dell'ente.

La statuizione è coerente con le osservazioni compiute da attenta dottrina in ordine alle direttrici di costruzione di modelli che siano in linea con i requisiti previsti dal d.lgs. n. 231/01 (Piergallini, paradigmatica dell'autocontrollo penale (dalla funzione alla struttura del 'modello organizzativo' ex d.lgs. n. 231/2001, in Cass. pen., 2013, I, 376 ss.).

In particolare, la scelta di attribuire il controllo ad un organo monocratico, funzionalmente dipendente dal presidente della società, rischia di minare la credibilità e l'effettiva autonomia dell'organo di controllo; d'altra parte, non è parimenti ipotizzabile l'esistenza di un organo di controllo del tutto 'slegato' dalla realtà aziendale ed al sistema 'gerarchico' su cui è fondato il funzionamento delle imprese.

La soluzione potrebbe pertanto passare dalla costituzione di un organo collegiale a composizione mista, nel quale operino, a fianco ai componenti interni - in grado di assicurare un elevato grado di conoscenza della realtà aziendale e di capacità di azione all'interno dell'impresa - anche membri esterni all'ente, dotati di un alto profilo di professionalità ed indipendenza.

Per altro verso, la Corte di Cassazione pare auspicare un controllo 'totale' da parte dell'organo di vigilanza su tutte le attività potenzialmente a rischio-reato.

Il proposito dei giudici di legittimità, pur in astratto condivisibile, dovrà comunque fare i conti con la realtà dell'impresa e con il principio della competenza generale degli amministratori per tutti gli atti di gestione compresi nell'oggetto sociale (giusto il combinato disposto dagli artt. 2364 co. 1 lett. c - 2384 c.c. - v. Dimundo, Le azioni di responsabilità nei confronti degli amministratori, in Atti del convegno Settimane di formazione al diritto commerciale, in Quaderni Consiglio Superiore Magistratura, Roma, 1996, 472).

La tensione verso il più elevato grado di controllo delle attività a rischio sconta infatti un limite intrinseco al 'sistema aziendale', in cui le decisioni ultime non possono che essere poste in capo ai vertici dell'ente, sui quali grava - quale pendant di un così vasto potere - un'equivalente responsabilità verso i soci, sino al confine estremo rappresentato dalla proponibilità dell'azione sociale ai sensi dell'art. 2393 c.c.

Né, d'altra parte, pare praticabile la soluzione prospettata dalla Corte di Cassazione nei termini di un più pervasivo potere dell'organismo di vigilanza nell'emissione di 'segnali d'allarme', posto che risulta difficilmente ipotizzabile una modalità di reportistica differente rispetto a quella ordinariamente adottata dall'impresa, che comporta la convergenza delle segnalazioni, in ultimo, proprio a quei vertici che dovrebbero costituire oggetto del controllo.