Dal Legale alla Compliance, Convegno “Corporate Compliance e Responsabilità d’Impresa”

di Giuseppe  Catalano,  Assicurazioni  Generali S.p.A.,  AIGI

 

 

Interpretando anche il pensiero di Assicurazioni Generali, che ha sostenuto fin da subito questo progetto, percependone le enormi potenzialità, sono molto contento di vedere questo volume dal titolo “Corporate Compliance on a Global Scale Legitimacy and Effectiveness” (Springer 2022, eds. F. Centonze & S. Manacorda), davvero di grandissimo pregio, finalmente pubblicato, arricchito da contributi di notevolissimo livello da parte di illustri autori di tutto il mondo.

 

Spero altresì che uno dei motivi del mio coinvolgimento possa essere anche il fatto che rappresento i giuristi d’impresa italiani come presidente di AIGI (Associazione Italiana dei Giuristi d’Impresa).

 

Partirei proprio da quest’ultimo dato, chiedendomi dove, come giuristi d’impresa, abbiamo sbagliato, se qualcosa abbiamo sbagliato. Se le aziende o il legislatore hanno ritenuto di dover istituire una funzione di Conformità (come la chiamano la Banca d’Italia, IVASS e altre autorità) o di Compliance (come nota nella prassi corrente), il sospetto è che la funzione Legale all’interno delle imprese non basti più, non sia cioè sufficiente – da sola – ad assicurare il fatto che l’azienda rispetti la legge o che i dipendenti e gli apicali dell’ente in questione rispettino la legge e tutte le normative applicabili, nelle varie epifanie dei propri comportamenti.

 

Quindi dove abbiamo sbagliato, sempre “se” abbiamo sbagliato qualche cosa, come giuristi d’impresa? Ho cercato la risposta nel volume.

 

Già nel primo contributo, quello di G. P. Miller, si dice che c’è una compliance 1.0, cui fa seguito una compliance 2.0, con l’evoluzione della figura del Compliance Officer che inizialmente è una figura un po’ bistrattata, mal pagata, dedita quasi esclusivamente a un’attività di “check-the-box”: una figura che lo stesso A. definisce “cartoonish”, quasi uno stereotipo da fumetti.  A quest’idea ricollego un ricordo personale, quando, verso gli ultimi anni del secolo scorso, una mia conoscente mi disse: “Vado a lavorare nella funzione Compliance di una banca”. La mia reazione fu immediata: “Che cos’è la funzione Compliance?”.

 

Evidentemente questo è un lavoro che ha assunto poi una sua dignità, perché il compliance officer 2.0 – sempre secondo Miller – mantiene una check the box quality ma non si limita a fare solo check the box.  In questa seconda fase, si afferma quindi una vera e propria figura professionale, riconosciuta come tale negli Stati Uniti, con un proprio sindacato e con una serie di attività che vengono in qualche maniera qualificate.

 

Permettetemi una parentesi, se vogliamo piuttosto sui generis: qual è la maniera più diretta per comprendere come cresce la rilevanza di un ruolo all’interno dell’organizzazione aziendale? Sicuramente, la risposta più facile è nel valutare se il livello della remunerazione di chi ricopre tale ruolo nell’organizzazione aziendale sia cresciuto.  Ebbene, non si può negare che i Compliance Officer, nel tempo, abbiano visto incrementare la loro remunerazione, tanto da attirare anche le attenzioni delle Autorità di Vigilanza, anche per la loro importanza all’interno dei sistemi di controllo interno.

 

Qui poi si pone un altro problema che è quello sollevato sia da Miller sia da Gaetano Presti nel suo contributo: la remunerazione dei Compliance Officer può essere parametrata al raggiungimento di target aziendali? E quanto, in caso di risposta affermativa, può dipendere da ciò? Il tema, infatti, è che la funzione di controllo non dovrebbe avere un aggancio al raggiungimento dei target: e, come sappiamo, questa è anche la direzione secondo cui si muovono le regolamentazioni delle Autorità.  Ciò nonostante, almeno a livello di retribuzione fissa, sicuramente i pacchetti dei Compliance Officer si sono incrementati.

 

Vi è poi un altro tema, ancora più sui generis, per capire come cambia il ruolo di alcune funzioni in un’azienda, che è quello della “localizzazione” degli uffici all’interno della stessa. Il fatto, ad es., che – empiricamente parlando – la stanza del responsabile della funzione Legale si sia, in molte aziende, allontanata da quella dell’amministratore delegato e si sia avvicinata a quella dei responsabili di funzioni più operative, o che l’Ufficio Legale stesso sia localizzato vicino al Procurement, alla Direzione Commerciale, alla funzione Risorse Umane, vuol dire – a parer mio –  che il “Legale” è sempre più embedded negli ingranaggi dell’azienda. Una volta, e parlo un po’ sulla base dell’esperienza personale, un po’ sulla base degli scambi di idee con i colleghi, il Legale era visto come l’extrema ratio: il contratto “faticosamente” negoziato dagli Acquisti o dai Commerciali veniva portato alla firma dell’amministratore delegato, e solo lo scrupolo di questo faceva sì che, in talune circostanze, fosse fatto rivedere dalla funzione Legale interna, per una “ultima revisione” degli aspetti giuridici. Il che – il più delle volte – si traduceva, sì e no, in una verifica delle cd. boilerplate clauses, se non di un mero check finale sulla correttezza formale e linguistica dell’intero impianto negoziale, con il “coltello  alla gola” di scadenze ravvicinate, possibilità/paura di “perdere il cliente [il fornitore]” e così via: tranne poi far partire la caccia alle streghe quando proprio quel contratto, qualche anno dopo, sarebbe stato ripreso dagli archivi per capire come fossero regolati i reciproci diritti e doveri, in una fase patologica che nessuno di coloro che a suo tempo avevano negoziato aveva, ovviamente, preventivato.

 

Ora l’Ufficio, anzi l’ufficio della Direzione Legale, è collocato più vicino alle “funzioni” operative: è solo un caso? Non direi: in realtà, quasi per coincidenza, è anche cambiato il modo di procedere in azienda. Ad es., e qui mi rendo conto di parlare ancora su una base meramente empirica, ma non penso di essere così lontano dalla realtà, il contratto parte dall’ufficio Legale, cui spesso viene chiesto di effettuare le prime verifiche sulla “solidità” della controparte non solo da un punto di vista tecnico (produce beni della qualità richiesta? È capace di vendere bene i prodotti di altri?) e finanziario (come sono i bilanci? Non è che fallisce da un momento all’altro?), ma anche della bontà degli assetti organizzativi e di regole interne (ha un buon governo societario? Ha un management capace di sopravvivere ad eventuali cambiamenti repentini nella proprietà? Si è dotata di regole che la mettano il più possibile al riparo da “noie” giudiziarie?).

 

Ecco: a ben pensarci, ritengo che questa sia la vera causa per la quale sia maturata la necessità di avere una funzione Compliance a sé, una funzione che molto spesso nasce all’interno della Direzione Affari Legali, ma poi mano mano se ne allontana, proprio perché il Legale è sempre più immerso nei processi aziendali e – agli occhi dei terzi – può apparire non avere un adeguato grado di indipendenza per poter presidiare il rischio di non conformità.  Banca d’Italia, nella famosa Circolare n. 285, richiede che il responsabile della funzione di conformità alle norme non abbia “responsabilità diretta di aree operative sottoposte a controllo” è “gerarchicamente subordinat[o] ai responsabili di tali aree” e il personale di tale funzione “non è coinvolto in attività che tali funzioni sono chiamate a controllare”.  L’Autorità di Vigilanza sul sistema bancario lo dice in maniera molto esplicita, ma anche le altre Autorità, come ad es., l’IVASS, lo ribadiscono: il General Counsel che è stato pienamente coinvolto, insieme ai suoi collaboratori e nella lineup aziendale, nelle trattative che hanno portato all’acquisizione di un concorrente nello stesso settore vigilato, e che ha contribuito a scrivere quel contratto che ha poi difeso in lunghe sedute di Comitati consiliari e CdA affinché fosse integralmente approvato, probabilmente non riesce ad essere sufficientemente distaccato per valutare il rischio di non conformità insito nella società target.

 

In Italia, questa spinta, iniziata nel settore bancario ad inizio di questo secolo, sta continuando in tutti i settori finanziari: prova ne sia che proprio il Gruppo cui appartengo, Assicurazioni Generali, per prima in Italia nel settore assicurativo, ha recentemente deciso di separare la funzione di Compliance dal Legale in tutte le società del Gruppo, facendo sì non solo che il responsabile della stessa risponda direttamente all’organo di gestione, ma anche che vi sia una linea “solida” che collega la funzione di Compliance in tutte le controllate con quella istituita all’interno della Capogruppo, per uniformare al meglio i processi di controllo del rischio di non conformità.

 

Questo porta a inquadrare in maniera diversa la questione dalla quale sono partito.  La necessità di dotare l’azienda di un Chief Compliance Officer diverso dal Chief Legal Officer non è il prodotto di eventuali demeriti di quest’ultimo: semmai, è proprio l’inverso.  Il bisogno di presidiare il rischio di non conformità in maniera puntale è il frutto (tutt’altro che avvelenato!) della maggiore attenzione che le società pongono al presidio del rischio legale: in sostanza, è il prodotto, come già chiarito, del fatto che – per dirla in soldoni – il Legale è assorbito nei processi aziendali in maniera molto più costante rispetto a quanto avveniva in precedenza e, per poter garantire al meglio la verifica dell’osservanza di leggi, norme, regolamenti e raccomandazioni anche provenienti dall’autodisciplina, c’è bisogno di una funzione a ciò dedicata 24 ore al giorno, 7 giorni su 7.

 

Si badi: non per nulla, nel gergo americano, il capo dell’ufficio Legale è indicato come “General Counsel”; la motivazione di questa nomenclatura si perde nel tempo, ma rende bene l’idea del rapporto, appunto, quasi “consulenziale” che il Legale interno ha con gli organi decisori e agevola, ed ha di fatto reso quasi necessario, l’istituzione di una figura diversa quale quella del Compliance Officer.

 

Da questo punto di vista, come al solito, alcune esperienze maturate negli USA sono assolutamente paradigmatiche del rapporto che s’instaura tra funzione Legale e funzione di Compliance: uno per tutti, il caso del whistleblowing nell’ambito dell’amministrazione Trump.  In quel caso, il whistleblower (un agente della CIA) si rivolse in forma anonima alla General Counsel dell’agenzia di intelligence riportando i suoi sospetti su talune attività del Presidente.  A sua volta, la General Counsel ha riportato tali sospetti sia al Department of Justice, sia al suo omologo presso la Casa Bianca, facendo quindi sorgere il dubbio che ella non fosse abbastanza “indipendente” per poter gestire un caso così delicato di whistleblowing.  Il che pone anche delle questioni sulle giuste gerarchie aziendali.

 

A tal proposito: una volta che “stacchiamo” la Compliance dalla funzione Legale, avendo comunque ambedue le funzioni una ovvia vicinanza di scope, che rapporto dobbiamo prevedere tra esse? Nell’organigramma aziendale dove mettiamo il Legale? Dove la Compliance? Alcune risposte a queste difficili domande sono presenti, nel volume oggi presentato, sia nel contributo di Stefano Manacorda sia in quello di Stefano Valente, il quale si sofferma sulle “differenti sfumature” che hanno le due funzioni.

 

Il tema resta quello dei potenziali conflitti e, anche da questo punto di vista, l’esperienza nordamericana ci fornisce alcuni esempi interessanti. Nell’ambito di un’investigazione che riguardava una società (la Tenet Healthcare Corp) che aveva ottenuto dei sussidi governativi, il presidente della Commissione Finanze del Senato statunitense, il repubblicano Chuck Grassley, contestò il fatto che la stessa persona che aveva strenuamente (zealously) difeso la società, dalle accuse in casi che vedevano coinvolta la stessa in improvvisi decessi di pazienti per interventi cardiochirurgici apparentemente non necessari, fosse proprio quella che avrebbe dovuto  assicurare il rispetto e l’osservanza della legge da parte della società, dei suoi amministratori, dei suoi manager e del suo personale.  Il sen. Grassley, nel rivolgersi al Senato, scrisse che questa persona non poteva indossare due cappelli contemporaneamente, perché “it doesn’t take a pig farmer from Iowa to smell the stench of conflict in that arrangement”, nel fatto, cioè, che la stessa persona fosse al contempo General Counsel e Chief Compliance Officer. Quindi è maturata anche da questo punto di vista la necessità di staccare e di non mettere il Chief Compliance Officer alle dipendenze del General Counsel perché altrimenti si sarebbe tornati al punto di partenza, cioè a quello in cui il Chief Compliance Officer deve riportare ad una persona (il capo del Legale, appunto) che ne decide lo stipendio, le ferie, i benefit, ma che alla fine risponde all’amministratore delegato.  Quindi, le due funzioni devono avere anche linee di riporto diverse.

 

Arriviamo al terzo punto che volevo toccare. Nelle nostre aziende quanto è cresciuto il budget della Compliance e quanto quello del Legale negli ultimi anni? La risposta, anche qui basata su aspetti empirici, è che è sicuramente molto cresciuto il budget delle funzioni di Compliance, mentre per il Legale è rimasto abbastanza flat. Gli investimenti in termini di risorse umane sono cresciuti soprattutto per la funzione di Conformità perché, in molti casi, le aziende se ne sono dotate partendo, sostanzialmente, da zero.

 

Si è sentito parlare anche oggi di “compliance alone”: a mio parere, dobbiamo abituarci ad avere sempre più compliance, perché l’impressione è che essa sia il frutto (indesiderato?) della confessione del legislatore di non saper regolare – meglio, regolamentare – un “fenomeno” così complesso come quello delle grandi corporations.   In sostanza, il legislatore ammette di non farcela, di ritenere che la verifica, all’interno di gruppi di grandi dimensioni, del rischio di osservanza di discipline molto tecniche quali data privacy, money laundering, corruzione, sicurezza sul lavoro, ecc. sia impresa molto complicata.  Il legislatore chiede alle aziende di dotarsi esse stesse di un meccanismo interno regolamentare, con tanto di apparato sanzionatorio, e di farlo in maniera adeguata ai loro assetti, non potendosi applicare delle regole uguali per tutti secondo un principio “one size fits all ”.

 

La necessità di dotarsi di compliance programs adeguati a reggere l’impalcatura interna di rispetto disciplinare implica il bisogno di avere un Compliance Officer, che monitorerà l’intelaiatura generale, e casomai anche di un Data Protection Officer, che guarderà al rispetto della disciplina sul trattamento e la gestione dei dati personali, di un Anti-Money Laundering Officer, che si occuperà dell’antiriciclaggio e così via.

 

Il tutto sotto l’ombrello dell’alta vigilanza degli organi gestori anche se, a mio parere, un giorno si porrà anche la questione sulle responsabilità dei consigli di amministrazione in quanto, se vengono sovraccaricati di obblighi di controllo, figure professionali disponibili a far parte del Cda di società complicate (come Assicurazioni Generali) ce ne saranno sempre di meno, quali che siano i meccanismi di loro nomina.

 

Un’ultimissima cosa. Ho il dubbio che il difetto di origine della compliance (che Francesco Centonze ha correttamente evidenziato) è che non si sa da dove “nasca”. È sbagliato pensare che la compliance nasca nel settore finanziario. La compliance nasce infatti alla fine degli anni ’50 nelle società manifatturiere elettriche americane, che costituiscono una sorta di cartello violando la legislazione antimonopolistica.  Allorquando tale accordo viene “scoperto” dall’autorità giudiziaria, le società si rendono conto di aver sbagliato e decidono di darsi un ‘modello’ di comportamento per gestire la situazione ed evitare di cadere di nuovo nell’illegalità. Da allora questo sistema del ‘modello’ piace e inizia ad autoalimentarsi.

 

Questa modalità del modello (mi si perdonerà il gioco di parole) in questo momento la stiamo applicando a tante fenomenologie diverse: un DNA unico non c’è, sicuramente però quello che stiamo notando è che quando le aziende iniziano ad inciampare, si rendono conto che c’è un tema di compliance. A quel punto si rendono anche conto che qualche investimento in più (da quel punto di vista) è necessario. Cosa manca in tutto questo? Probabilmente, e lo dico ben conscio del fatto di essere in un’aula universitaria, negli studi (soprattutto quelli di giurisprudenza) dovrebbe esserci ancora maggiore attenzione nel dotare i ragazzi di strumenti di analisi e gestione dei rischi: utensili non sempre nella disponibilità di chi ha praticato esclusivamente studi giuridici.

 

Grazie per l’attenzione.