L’adeguatezza del MOG frodato nella sentenza BT Italia del Tribunale di Milano
di Mario Iannuzziello, Assegnista di ricerca in Diritto penale
1. Premessa. I fatti di causa e la contestazione all’ente
Il 22 aprile 2024 il Tribunale di Milano, II Sezione Penale, ha depositato la sentenza n. 1070 che chiude il primo grado della vicenda British Telecom Italia. Il processo ha visto imputati – da un lato – i vertici dell’ente per i reati di false comunicazioni sociali, emissione di fatture per operazioni inesistenti, frode in pubbliche forniture e il revisore legale per il delitto di falsità nelle relazioni o nelle comunicazioni dei responsabili della revisione legale (art. 27, co. 2 d.lgs. n. 39/2010) e – dall’altro – la società BT Italia S.p.A. per l’illecito amministrativo di cui all’art. 25-ter d.lgs. n. 231/2001, rubricato Reati societari.
Il merito di questo processo segnala dei profili di estremo interesse per il tema della responsabilità da reato degli enti: infatti, raffronta i caratteri del MOG adottato dall’ente imputato con quelli che definiscono il tipo astratto di modello di organizzazione e gestione e, pur registrandosi delle divergenze ‘topografiche’ tra i due, conclude ritenendolo idoneo a prevenire i reati della specie di quello verificatosi, secondo i principi enunciati dalla Corte di Cassazione nel caso Impregilo (Cass. Pen., IV Sez., sent. n. 23401/2022). Per l’effetto, il Tribunale di Milano perviene ad una pronuncia di assoluzione in favore della società BT Italia S.p.A. ex art. 66 d.lgs. n. 231/2001 perché “l’illecito amministrativo contestato all’ente non sussiste” nonostante alcuni apicali siano stati condannati per il reato di false comunicazioni sociali.
Questa sentenza risulta, infatti, una delle poche che assolve l’ente per adeguatezza del modello di organizzazione e gestione.
Seguendo l’ordine di argomentazione della sentenza sulla responsabilità da reato dell’ente (paragrafo 8 della motivazione), verranno analizzati i caratteri del tipo astratto del MOG (infra § 2), il raffronto che viene fatto tra questo e il MOG adottato dall’ente imputato (infra § 3), l’individuazione del management override of controls come modalità di elusione fraudolenta dei protocolli di prevenzione e gestione del rischio-reato (infra § 4) e, infine, le ragioni che hanno condotto a ritenere adeguato il modello di organizzazione e gestione della società BT Italia S.p.A. e, quindi, all’esclusione della responsabilità 231 (infra § 5).
2. La ricostruzione del tipo astratto del modello di organizzazione e gestione
La sentenza del Tribunale di Milano apre la parte della motivazione afferente alla responsabilità da reato dell’ente con una ricostruzione di quanto è già noto in tema di modello di organizzazione e gestione ex art. 6 d.lgs. n. 231/2001, tanto per la sua ‘parte generale’ quanto per la sua ‘parte speciale’.
Con riferimento alla prima, viene ribadito che questa consta del Codice etico atto a fissare i principi a cui si deve attenere l’ente per prevenire gli illeciti che possono essere commessi nella sua attività d’impresa e del Codice di condotta. La sentenza specifica, infatti, che il MOG deve contenere i riferimenti alla legislazione rilevante per l’attività d’impresa, alle linee guida dell’associazione di categoria a cui aderisce l’ente e di eventuali codici deontologici, l’indicazione dei suoi destinatari e le modalità di formazione e informazione sul suo contenuto, le regole etiche a cui si ispira il soggetto corporativo e quelle di condotta, il sistema disciplinare dell’ente, le sanzioni conseguenti alla violazione del MOG, un canale di whistleblowing e last but not list l’organismo di vigilanza.
Su quest’ultimo, poi, la sentenza ribadisce le caratteristiche che deve avere e sottolinea come esso funga da “strumento di controllo pervasivo sull’effettività e adeguatezza” del MOG, attraverso sia attività informative e di controllo (come i report sulle attività svolte e le segnalazioni sulle violazioni del modello) sia l’esercizio di poteri propositivi e disciplinari in tema di informazioni e formazione sul sistema di compliance dell’ente verso cui “è chiamato ad esprimere valutazioni in termini di adeguatezza, continuità ed intensità, oltre a dimostrarsi costante nell’attività di monitoraggio e di accertamento delle infrazioni”.
Nel prosieguo, viene analizzata la ‘parte speciale’ del modello di organizzazione e gestione e viene attenzionata la “evoluzione dell’organigramma aziendale” in relazione ai mutamenti delle attività dell’ente per “verificare l’adeguatezza nel tempo del protocollo e la sua idoneità a conformarsi ai mutamenti strutturali” della società. Nella mappatura del rischio, infatti, si deve tener conto delle aree di rischio-reato con particolare riguardo alle cd. aree strumentali ossia quelle che riguardano gli strumenti finanziari, i processi sensibili in cui potrebbero essere commessi i reati-presupposto e quindi i relativi illeciti 231, la valutazione e l’efficienza dei sistemi operativi e gestori per evidenziare le criticità dell’assetto di compliance e, in ultimo, l’indicazione delle possibili modalità di commissione del reato per settare un sistema di cautele idoneo a prevenirlo. Questi profili della parte speciale, poi, devono essere aggiornati in funzione dell’evoluzione dell’attività dell’ente per saggiarne l’attitudine preventiva nel corso del tempo.
Accanto a questi – continua il Tribunale di Milano – si pongono le procedure di riduzione e di gestione del rischio-reato e la loro efficace attuazione, secondo il paradigma della “segregazione delle funzioni” secondo il quale chi partecipa ad una fase del processo decisionale non partecipa a quella successiva al fine di evitare possibili conflitti di interesse tali da inficiare la capacità preventiva del modello di organizzazione e gestione. Nello specifico, la sentenza ricorda anche i principi a cui devono improntarsi tali procedure ossia l’individuazione di un soggetto responsabile della gestione del rischio-reato, la regolamentazione di tale processo in ossequio al principio di segregazione delle funzioni, le modalità con cui deve essere attuato ed aggiornato in relazione alle evoluzioni delle attività dell’impresa e l’istituzione di canali informativi e il loro costante controllo e monitoraggio.
3. Il modello di organizzazione dell’ente imputato, tra forma e sostanza
Una volta ricostruito il tipo astratto del modello di organizzazione e gestione, la sentenza vaglia quello adottato dall’ente tratto a giudizio, che è stato introdotto nel 2006 e aggiornato nel 2008, 2011 e 2016, e riscontra la nomina dell’organismo di vigilanza.
Entrando nel merito del MOG, il consulente della pubblica accusa riconosce che il modello – come aggiornato nel 2016 – risulta “del tutto adeguato” e, poi, lo raffronta con la versione del 2011, che valuta come “non idone[a] a prevenire il rischio reato di cui al capo di imputazione” ossia l’illecito amministrativo di cui all’art. 25-ter d.lgs. n. 231/2001. Infatti, ritiene “completi e adeguati” sia il Codice di condotta sia l’apparato sanzionatorio e il sistema disciplinare ossia la sola parte generale (come descritta supra), e riscontra una carenza organizzativa nella parte speciale in quanto il MOG era privo di “un’analisi del rischio-reato e non [erano] compresi nel Modello i protocolli di prevenzione del rischio-reato”.
Il collegio, tuttavia, analizzando i verbali dell’organismo di vigilanza dal 2009 al 2011 e le policies di gruppo prodotte dalla difesa dell’ente, riconosce che “la c.d. attività di risk assessment è stata effettivamente svolta” e costantemente aggiornata in relazione ai reati-presupposto via via introdotti nel corpo del Decreto 231. Inoltre, il Tribunale censura la critica del consulente del Pubblico Ministero, che aveva ritenuto “del tutto assenti i protocolli di prevenzione del rischio-reato” perché, se da un lato il modello di organizzazione e gestione del 2011 non aveva una parte speciale in senso formale (cioè un documento altro dalla parte generale e così denominato), dall’altro, le policies di gruppo “contengono specifiche procedure di prevenzione del rischio-reato che confluiranno nella parte speciale del Modello del 2016 ritenuto dallo stesso consulente della Procura assolutamente idoneo”.
In altre parole, nel 2011 i protocolli di gestione del rischio-reato erano contenuti nei verbali dell’organismo di vigilanza e nel 2013 in allegati alla ‘parte generale’, mentre nel 2016 erano confluiti nella ‘parte speciale’ del modello di organizzazione e gestione.
La sentenza, quindi, analizza con dovizia di particolari le policies intitolate Delegation of Authority (DoA), Reserved Powers e, nello specifico, con riferimento al protocollo The Way we work, contenente il codice di condotta, afferma che “Sebbene, alla stregua del Codice etico, esso si sarebbe dovuto inserire nella parte generale del Modello, ciò che interessa ai nostri fini è rilevare che il predetto documento, […] indicava le modalità con le quali i soggetti che ritenevano di dover segnalare […] una situazione di rischio potevano farlo, il che, per converso, portava una responsabilità disciplinare in capo al dipendente […] che ometteva di esercitare questa facoltà di segnalazione. Detto documento, inoltre, trattava […] ogni area considerata potenzialmente a rischio” e procede enumerando dette aree, fra cui reati contro la pubblica amministrazione, conflitti di interesse, rispetto dei diritti umani e donazioni a formazioni politiche. Pertanto, erano presenti, tra le altre, policies in tema di anticorruzione, donazioni e beneficenza, strategia di sviluppo del mercato tali da costituire, nella lettura del giudice di merito, “significativi protocolli di prevenzione del rischio-reato, i quali erano finalizzati ad operare in alcuni settori ‘nevralgici’ della politica aziendale”, già disciplinati precedentemente e confluiti nel 2016 nella ‘parte speciale’ del MOG.
Di conseguenza, emerge che “La differenza tra i due Modelli non è […] sul piano dei contenuti quanto su quello della struttura morfologica del Modello stesso, nel senso che mentre nel Modello del 2013 essi erano contemplati come protocolli allegati al Modello strutturato principalmente sulla parte generale, in quello del 2016 sono stati più correttamente inseriti nella parte speciale”.
Il Tribunale così censura la consulenza tecnica della Pubblica Accusa, secondo cui “solo nel 2016 [l’ente] si sarebbe dotato di un Modello 231 adeguato, essendo buona parte dei protocolli ivi richiamati già elaborati nel 2013 quindi in epoca antecedente alla commissione dei fatti in contestazione”. Il giudice del merito, infatti, riconosce la preminenza della sostanza sulla forma ossia della vigenza di protocolli di gestione del rischio-reato, formalizzati non come ‘parte speciale’, ma come allegati alla ‘parte generale’.
Ancora, la sentenza qui in analisi rileva – adducendo una ulteriore prova dell’adeguatezza e dell’efficace attuazione del modello – che la segnalazione delle violazioni al MOG sono state segnalate alla holding attraverso “il sistema di whistleblowing, […] avvenuta tramite il c.d. Speak up, richiamato nel Codice di comportamento della società e facente parte integrante del Modello”.
4. La violazione del modello attraverso il management override of controls
Una volta valutata la presenza del modello di organizzazione e gestione, la sentenza analizza le modalità che hanno condotto alla commissione del reato-presupposto per cui l’ente è stato tratto a giudizio ossia le false comunicazioni sociali. Le escussioni testimoniali hanno fatto emergere “un clima aziendale caratterizzato da uno stile di management accentrato ed autocratico”, che ha causato “la sistematica violazione e l’aggiramento del sistema di governance e delle policy aziendali poste a base del sistema di controllo interno implementato dalla società, di cui il Modello rappresenta un sottoinsieme”.
Infatti, per conseguire obiettivi di profitto al di là della portata dell’ente tratto a giudizio (nello specifico, aumentare il margine lordo operativo), le attività d’impresa venivano gestite da pochi apicali in spregio al principio di segregazione delle funzioni, alterati i dati di performance e i report inviati alla holding e ai revisori attraverso il management override of controls.
Questa è una procedura che è volta a violare il sistema di controlli interni dell’impresa al fine di contaminarne i processi di gestione, ora nella forma dell’inosservanza ora in quella della frode. Nel caso BT Italia è emersa proprio questa pratica che la sentenza descrive come “uno scenario in cui il comportamento aziendale diviene forzatamente improntato alla sistematica violazione ed aggiramento fraudolento di ogni regola, procedura, codice etico e modello organizzativo e, in presenza del quale, qualsiasi Modello seppur adeguato ed efficacemente attuato, non sarebbe in grado di evitare comportamenti elusivi e manipolatori” come quelli che sono emersi dalle testimonianze rese in giudizio.
Il collegio quindi riconosce nel management override of controls la condotta che ha permesso di frodare il MOG dinanzi alla quale “qualsiasi Modello seppur adeguato ed efficacemente attuato, non sarebbe in grado di evitare comportamenti elusivi e manipolatori” come quelli che sono stati posti in essere da alcuni apicali tratti a processo e condannati. Questo passaggio della motivazione rappresenta un’applicazione dei principi enunciati dalla Suprema Corte nella sentenza Impregilo in tema di elusione fraudolenta del modello, che ha affermato come “il concetto di ‘elusione’ implichi necessariamente una condotta munita di connotazione decettiva, consistendo nel sottrarsi con malizia ad un obbligo ovvero all’aggiramento di un vincolo, nello specifico rappresentato dalle prescrizioni del modello; rafforzato poi dal predicato di ‘fraudolenza’ […], che […] vuole evidenziare […] una «condotta ingannevole falsificatrice, obliqua, subdola», tale da frustrare con l’inganno il diligente rispetto delle regole da parte dell’ente” (così, Cass. Pen. Sez. VI, sent. n. 23401/2022).
Condotta che è stata idonea a frodare il MOG dell’ente imputato sebbene “all’epoca dei fatti in contestazione il Modello adottato fosse idoneo ed adeguato a prevenire reati di falso in bilancio” di cui all’art. 25-ter d.lgs. n. 231/2001 e che sono stati contestati all’ente.
5. Conclusioni: l’adeguatezza del modello frodato
Questa sentenza, dunque, riconosce che gli illeciti perpetrati all’interno dell’ente sono derivati “non dalla mancata adozione di un Modello di gestione del rischio-reato idoneo ed efficace, bensì da una serie di comportamenti fraudolenti posti in essere da ‘pochi’, non evitabili né altrimenti prevedibili, che sono venuti allo scoperto a seguito di una segnalazione anonima (che in ogni caso rappresentava uno dei presidi di controllo previsti nel Modello) e a seguito della quale sono state avviate approfondite attività di indagine interne ed allontanate le persone ritenute responsabili dei comportamenti fraudolenti”.
E, pertanto, il collegio esclude “la responsabilità […] ex art. 66 d.lgs. n. 231/2001, per l’insussistenza dell’illecito amministrativo contestato”.
In conclusione, la sentenza n. 1070 del 2024 della II Sezione Penale del Tribunale di Milano rappresenta un valido esempio di valutazione dell’efficacia sui presidi preventivi dell’ente poiché riconosce la preminenza della sostanza preventiva sulla forma che assumono gli atti di organizzazione all’interno dell’impresa, testimoniata tanto dalle policies adottate quanto dall’efficacia del canale di whistleblowing, e individua una modalità di elusione fraudolenta nel management override of controls tale da non inficiare l’adeguatezza del modello di organizzazione e gestione.
Clicca qui per consultare la sentenza.