Dopo quasi venti anni dall’entrata in vigore della disciplina sulla responsabilità amministrativa delle persone giuridiche, sono già molte le imprese italiane che hanno adottato un Modello di Organizzazione, Gestione e Controllo ai sensi del d.lgs.231/2001 (MOGC), ma, tra queste, ancora troppo poche attribuiscono all’Organismo di Vigilanza (OdV) un ruolo funzionale alla gestione efficace e integrata del proprio rischio aziendale.
Questo dato, purtroppo, si concilia male con il fatto che, oggi più che mai, le aziende, anche quelle che potremmo definire più tradizionali, sono soggette a continui mutamenti, spinte o travolte dalla digital innovation: le società che producono beni si fondono con le software house per realizzare prodotti “intelligenti”, le imprese che vendono servizi professionali creano newco con chi é in grado di sviluppare tool per ingegnerizzare i loro know how, altre società trovano conveniente incorporare startup innovative per dare impulso all’e-commerce, le compagnie assicurative predispongono polizze che prevedono l’impiego di dispositivi IoT da parte degli utenti, e l’elenco potrebbe continuare.
Per quanto varie e complesse siano le ragioni che spingono le società a trasformarsi, il cambiamento del business è spesso l’esito di un’operazione straordinaria, dovendo rendere la forma giuridica dell’impresa più coerente e adatta alle nuove e mutate condizioni dell’ambiente sociale, del contesto legislativo, della realtà economica e del mercato. Nonostante ciò, il numero delle organizzazioni che – seppure in possesso di un Modello Organizzativo 231 – si preoccupano di informare l’Organismo di Vigilanza del proprio piano strategico di sviluppo, è quasi prossimo allo zero. In taluni – e rari – casi si ritiene opportuno non diffondere informazioni riservate o privilegiate, ma – molto più spesso – i Responsabili delle Direzioni coinvolti dal cambiamento o lo stesso organo di direzione non sentono neppure l’impulso di coinvolgere l’OdV.
Esiguo è anche il numero delle imprese che, durante l’analisi preliminare sulla fattibilità del nuovo e–business, si ricordano di associare ai tradizionali reati già considerati (quali frode nel commercio, contraffazione o furto di brevetti industriali), il nuovo rischio di reato informatico applicato alla fase della produzione o del commercio. E ancora più ridotto è il numero delle organizzazioni che, impegnate a compiere le più tradizionali attività di due diligence contabile, finanziaria, legale e fiscale, si preoccupano altresì di quella nell’ambito del d.lgs.231/2001, ad esempio richiedendo alla società che si vuole incorporare il Certificato dell’anagrafe delle sanzioni amministrative dipendenti da reato (art. 31 e 33 DPR 313/2002).
Ciò che le imprese non sembrano considerare è il fatto che, senza compiere queste valutazioni in via preliminare, in grado di prevedere la corretta identificazione delle obbligazioni che la Newco si dovrà assumere, e quindi i conseguenti costi di gestione, non si può arrivare alla successiva fase di negoziazione dell’operazione straordinaria preparati in modo adeguato.
Vale la pena ricordare, infatti, che, esiste una specifica sezione del Decreto 231, dedicata alle vicende modificative dell’ente (capo II, sezione II ), nella quale il Legislatore del 2001 aveva regolamentato in modo dettagliato i singoli casi di trasformazione, fusione, scissione o cessione dell’ente, volendo evitare che le operazioni straordinarie potessero configurare una modalità elusiva delle responsabilità d’impresa o peggio diventare strumento per nascondere comportamenti illegali. La medesima disciplina, quindi, può costituire un presidio molto utile per le società che intendono trasformarsi, e al contempo tutelare il proprio patrimonio.
É bene sapere, infatti, che con la trasformazione, poiché l’ente prosegue la sua attività, seppure sotto diversa veste giuridica, la responsabilità per i reati commessi prima dell’operazione si trasmette all’altra impresa in modo totale e incondizionato. E anche nel caso di fusione, compresa quella per incorporazione, la disciplina 231 prevede che le sanzioni pecuniarie condividano il destino di tutti gli altri obblighi degli enti partecipanti alla fusione o dell’ente incorporato, i quali vengono “assunti” dall’ente risultante dall’operazione o dall’incorporante.
A fronte della regolamentazione appena illustrata, pare quindi evidente l’importanza di un’approfondita e puntuale attività di analisi e verifica sull’ente da acquisire, valutandone dati, informazioni, performance ma anche gli elementi di rischio e di rilevanza giuridica, con l’obiettivo di tutelare la società, gli interessi dei suoi soci, il patrimonio, la reputazione dell’impresa e tutti i suoi interlocutori.
Che funzione ha l’Organismo di Vigilanza quando si acquisisce un ente?
Ecco allora che l’Organismo di Vigilanza potrebbe davvero compiere un ruolo fondamentale in corso di definizione dell’accordo straordinario, suggerendo all’organo di governo controlli mirati alla verifica di potenziali rischi connessi alla responsabilità da reato. Nell’attività di due diligence, infatti, assume molta rilevanza l’eventuale adozione del Modello 231 da parte delle società partecipanti, del quale si dovrebbe valutare l’idoneità, nonché l’efficace adozione, al fine di poter beneficiare del suo valore esimente o riparatorio. Se invece la società partecipante non avesse adottato il Modello 231, si dovrebbero eseguire controlli più incisivi per verificare il sistema organizzativo, la governance ed il sistema di controllo interno.
Scegliere di non coinvolgere l’OdV prima di giungere alla definizione di un’operazione straordinaria, significa accettare l’ipotesi del seguente scenario: la Società impiegherà molti mesi per definire la propria nuova struttura, e, a quel punto (solitamente dopo un anno) l’OdV, svolgendo la propria ordinaria attività di vigilanza e controllo, rileverà che il Modello 231 non è più allineato alla realtà aziendale. Questo rilievo, il più delle volte, comporterà l’avvio di un progetto di revisione del MOGC (e passeranno altri mesi/un anno). Nel frattempo – e questo è l’aspetto che deve essere chiaro – il Modello che la società aveva adottato in precedenza non sarà più efficace e non potrà garantire la copertura come esimente, oltre al fatto che lo stesso ruolo dell’OdV resterà completamente vanificato.
L’Organismo di Vigilanza, infatti, ha il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento, ma questo monitoraggio viene reso efficace solo se il cambiamento viene comunicato in modo tempestivo.
Proprio per venire incontro a tale esigenza, conscio delle vicende modificative delle imprese, il legislatore del 2001 aveva espressamente previsto l’obbligo dell’ “informazione nei confronti dell’OdV sul funzionamento e l’osservanza dei modelli” (art. 6 comma 2 lett. d) il quale, per il tema che stiamo trattando, si potrebbe tradurre operativamente nell’implementazione dello strumento dei flussi informativi periodici, per mezzo dei quali i vari Responsabili di area potrebbero comunicare all’OdV le modifiche organizzative, strutturali o di business in corso, e riuscirebbero a trasmettere informazioni (anche estremamente riservate), utilizzando canali digitali scuri, in grado -ove occorra- di criptare i dati.
Quale appendice a tutto il discorso, non si può trascurare il fatto che, se opportunamente e tempestivamente consultato, l’OdV potrebbe informare il Management di eventuali imminenti modifiche normative con potenziale impatto sui rischi connessi all’operazione straordinaria, tali da richiedere la sospensione o l’abbandono del progetto. Ad esempio, una direzione che stesse programmando investimenti per uno sviluppo del business nel settore IT in Europa, potrebbe aver bisogno di sapere che è stato pubblicato un decreto-legge in materia di sicurezza nazionale cibernetica, di cui si attende la conversione entro il mese di novembre, e delle sue potenziali conseguenze in ambito di responsabilità per l’impresa. Oppure, una società che volesse incorporarne un’altra potrebbe voler sapere della recente pubblicazione del decreto-legge fiscale, che prevede l’inserimento dei reati tributari nel catalogo dei reati 231 entro la fine dell’anno, o dell’esistenza di una legge delega al Governo per il recepimento della Direttiva Europea in materia di tutela penale degli interessi finanziari (c.d. Direttiva PIF), che dovrà portare l’Esecutivo nazionale a emanare un decreto legislativo entro il 2 febbraio 2020.
Avere tutte queste informazioni, in fondo, non fermerebbe nessuna strategia, né interromperebbe alcun processo innovativo. Piuttosto, fornirebbe ulteriori elementi di valutazione e – perché no – riflessioni per possibili nuovi business.