UNIVERSITÀ CATTOLICA DEL SACRO CUORE DI MILANO
Facoltà di Giurisprudenza
Corso di Laurea Magistrale in Giurisprudenza
RESPONSABILITÀ EX CRIMINE DEGLI ENTI
(D.LGS. 8 GIUGNO 2001, N. 231):
EFFECTIVE COMPLIANCE PROGRAMS E REATI INFORMATICI
Relatore: Chiar.ma Prof.ssa Maria MEGALE
Tesi di Laurea di:
Elena GAGLIARDI
Matr. N° 3402227
Anno Accademico 2014/2015
“Se sei quello che di solito la gente chiama compositore ‘serio’,
hai fatto un tema con le variazioni,
che pubblichi come parte di un'opera - o di un'opera di grandi dimensioni.
Ma se sei un musicista swing, puoi non pubblicarlo per niente;
suonalo e basta, modificandolo un po' ogni volta a seconda di come ti senti,
e lascialo crescere mentre ci lavori”.
DUKE ELLINGTON, in Top Magazine, 1938
(A. Shipton, Nuova Storia del Jazz, Einaudi, 2011)
“Vòlli, e vòlli sèmpre, e fortissimaménte vòlli”
V. ALFIERI, Siena 6 Settembre 1783, Lettera a Ranieri de' Casalbigi.
Per mia madre,
che porta lo stesso nome di questa Università,
la sua stessa ingenua severità,
la sua bellezza antica,
che ha forgiato la mia mente,
che mi ha resa diamante,
inscalfibile e fiera,
che ha alimentato sempre
con fiducia e sacrificio
la mia curiosità e meraviglia
davanti alle cose del mondo.
“CORPORATION, n. - An ingenious device for obtaining individual profit
without individual responsibility”
The Devil's Dictionary, 19581
“Simply stated, bad apples are sometimes the fruit of bad trees”
G. S. Moohr, 20072
La definizione, volutamente provocatoria, fa parte de “Il dizionario del diavolo” di A.
BIERCE. L'intera opera è disponibile online: www.thedevilsdictionary.com; citato da
J.GOBERT, Corporate Criminality: four models of fault, in Legal Studies, Vol. 14, issue 3,
pp. 393-410, 1994.
2
G.S. MOOHR, Of Bad Apples and Bad Trees: Considering Fault-Based Liability for
Complicit Corporations, in N.B. RAPOPORT - J.D. VAN NIEL, B.G. DHARAN (a cura
di), Enron and other corporate fiascos: the corporate scandal reader, Thomson
Reuters/Foundation Press, 2009, p. 746; originariamente in 44 American Criminal Law
Review 1343 (2007).
1
PROLOGO
LA BANALITÀ DEL MALE SENZA VOLTO
DELLA CRIMINALITÀ INFORMATICA SOCIETARIA
#DataIsTheNewBlackGold
«Il più grande male perpetrato è il male commesso da nessuno»
«Un coro di piccolo-borghesi griderà: “non l'abbiamo fatto noi”»
Hannah Arendt3
Cosa hanno in comune Hannah Arendt e Kevin D. Mitnick4? Sostenere
la banalità del male. Il fattore umano come anello debole della catena, spesso
inconsapevole5. Il male “banale” è senza volto, commesso da chiunque e
3
H. ARENDT, Some questions of moral philosophy, in Essays in understandings 19301954, J. KOHON (a cura di), Harcourt Brace & Company, NewYork, 1994; ID, Organisierte
Schuld, in Sechs Essays. Heidelberg: L. Schneider, 1948, pp. 42-43 riportata in A. PRINZ,
Professione filosofa. Io, Hannah Arendt, Donzelli ed. 2009, p. 79, cap. “La questione della
colpa”.
4
K.D. MITNICK è ad oggi considerato uno dei più abili hacker al mondo. A lungo sulla
black list dell'Fbi, è stato confinato agli arresti domiciliari con il divieto di collegarsi alla rete
ed usare il computer. Oggi è consulente per la sicurezza informatica di diverse corporation,
«ma il suo mito non accenna a tramontare» (in The art of deception, in prima ed. italiana
L'arte dell'inganno, Feltrinelli, 2005).
5
Un gerarca nazista all'ombra della sua scrivania poteva decretare in una manciata di minuti
la morte di centinaia di persone, il tutto senza mai muoversi dal suo ufficio. E senza
sporcarsi di sangue. H. ARENDT sostenne come questa sorta di meccanizzazione degli
ordini da eseguire avesse reso la maggior parte dei burocrati nazisti medi, dei grigi burattini,
esecutori di ordini superiori, quasi inconsapevoli (ma non perciò innocenti) coautori di atroci
delitti.
Per il crimine informatico la questione è sine dubio meno opinabile e controversa: è cosa
nota che la totale mancanza di cultura informatica aziendale, porta molti dipendenti a
commettere sistematicamente crimini informatici inconsapevolmente. Inoltre, a complicare
le cose, anche quando il criminale informatico commette un delitto intenzionalmente,
nell'interesse o vantaggio dell'azienda, spesso rimane senza volto, non identificabile. Non è
insolito che un “ingegnere sociale” scaltro riesca ad ottenere ciò che vuole (es. una
password, una procedura aziendale, una componente chiave del capitale intellettuale
del'azienda, ecc.) con un banale attacco diretto (ovvero, addirittura, ottenendola dal diretto
interessato). Spesso i dati e le informazioni agognate risultano apparentemente un
«documento innocente, una robetta tanto banale e così poco importante che quasi nessuno
1
quindi da tutti e da nessuno, da un normale burocrate nel pensiero di Arendt,
letteralmente da chiunque celato dietro uno schermo di un computer, secondo
Mitnick.
Quanti “Eichmann” non identificati avrebbero dovuto essere puniti?
Il male “banale” risulta così anche il più difficile da censurare6.
H. Arendt, sottile pensatrice e filosofa ebrea, allieva di Heidegger in
una Germania sull'orlo dello scoppio della follia nazista (ma naturalizzata
statunitense)7, inviò alla rivista Die Wandlung un saggio che aveva scritto nel
1944, dove già si confrontava con la questione della colpa. Scriveva come la
colpa collettiva fosse un concetto che non esiste. Così come l'innocenza
collettiva8. Aggiungeva che la colpa poteva essere solo personale, così come
nella struttura capisce perché dovrebbe essere protetta e riservata» (K.D.MITNICK - W. L.
SIMON, L'arte dell'inganno, Feltrinelli, 2014, p. 35).
6
La scriminante dell'adempimento del dovere fu la difesa regina dei gerarchi nazisti imputati
nel Processo di Norimberga e anche quella di Eichmann. In effetti si trattava di dimostrare
che nell'adempiere a quegli ordini si percepiva di fare moralmente qualcosa di
profondamente sbagliato contro un individuo, ovvero contro il primario bene giuridico
tutelato da qualsiasi ordinamento penale. Il che, se il processo Eichmann, così come quello di
Norimberga, fosse stato meno simbolico (Arendt li definisce processi-spettacolo) e più
garantista circa i diritti degli imputati, sarebbe stato molto più complesso da provare. Il
limite di tali processi fu quello di pretendere di riguardare più la Storia, che un signolo uomo
imputato. Sarebbe quindi stato molto più difficile, rispettando il principio del giusto
processo, condannare e punire Eichmann per il suo “male banale” perpetrato e consistente in
un ordine eseguito. Si ricordi che una Corte penale internazionale non esisteva ancora al
momento dei processi ai nazisti catturati; in realtà nemmeno Israele, ovvero la parte lesa
costituitasi in giudizio tramite la pubblica accusa, esisteva al tempo delle torture.
7
La giovane Arendt ebbe una relazione segreta con il filosofo M. Heidegger, suo professore
all'Università di Marburgo. Con l'avvento del nazismo i due si separarono e Arendt finì il
dottorato, con una tesi su S. Agostino, sotto la supervisione del Professor K. Jaspers. In vita
rimarrà amica di Jaspers e si allontanerà da Heidegger, il quale, nel mentre, brillò di una
rapida carriera sotto l'aquila hitleriana. Cfr. H. AREDNT - K. JASPERS, Carteggio 19261969: filosofia e politica (1987), a cura di A. Dal Lago, Feltrinelli, Milano, 1989.
8
Così scriveva Arendt ben diciannove anni prima del suo scritto circa “Le polemiche sul
caso Eichmann”. Solo successivamente, nel 1960, fu mandata come corrispondente del New
Yorker ad assistere al processo di Adolf Eichmann, gerarca nazista addetto al convoglio dei
treni dei deportati verso i campi di concentramento. Eichman fu rapito in Argentina nel 1960
dal Mossad, per essere processato nel 1961 in Israele, a quindici anni dal Processo di
Norimberga a cui era riuscito a sfuggire. Il suo fu il primo processo ad un criminale nazista
tenutosi in Israele.
Fu la genesi del lavoro più controverso della filosofa ebrea: Eichmann in Jerusalem.
A report on the banality of Evil, (1963), che le procurò la nomea di “avvocato della causa
2
rispecchiato in molti ordinamenti, tra cui il nostro, ex art. 27 della
Costituzione. Alla banalità del male, si contrapponeva la radicalità (e
profondità) del bene9.
nazista”. Sostenendo «la banalità del male» del singolo Eichmann, visto come un minuscolo
tassello dell'enorme macchina della morte nazista, che si voleva ora immolare, secondo una
concezione retributiva della pena, davanti al mondo e agli alleati, H. Arendt attirò su di sé
pesanti critiche e lo sdegno di numerosi colleghi intellettuali dell'epoca.
Secondo Arendt, Eichmann non aveva fatto altro che eseguire ordini inappellabili ed
altro non fu se non un «normalissimo uomo medio», non un malvagio fanatico, ma un uomo
“normale”, solo un grigio, piccolo burocrate, che svolgeva semplicemente il suo lavoro ligio
alle direttive dei superiori, come si addiceva ad un qualunque militare in tempo di guerra.
Ecco la banalità del male. Estremamente più difficile da comprendere (e da punire) del male
diabolico, doloso, consapevole.
Dalla sua tesi, Arendt ricavava il corollario su cui qui si vuole porre l'attenzione:
«non esiste una cosa che si chiama colpa collettiva, e tanto meno una cosa che si chiama
innocenza collettiva. In caso contrario nessuno potrebbe mai essere colpevole o innocente»,
in H. ARENDT, La banalità del male. Eichmann a Gerusalemme, p. 285 (Appendice. Le
polemiche sul caso Eichmann), prima ed. italiana, Feltrinelli,1964.
9
Scrisse (ritrattando ciò che aveva precedentemente affermato in Le origini del totalitarismo
sulla radicalità del male) che «solo il bene è profondo e può essere radicale» in H. ARENDT,
Lettera a Scholem, 1963. Tra le critiche alla Arendt, quella di G. SCHOLEM rimase celebre;
i due decisero di rendere pubblica la loro breve corrispondenza, contenuta in forma integrale
in H. ARENDT, Ebraismo e modernità (1978), Unicopli, Milano, 1986, pp. 215-228. In
particolare Scholem le contestava il fatto di non poter criticare circostanze estreme a cui non
si è stati esposti in prima persona e che lo scritto in questione affossava in modo alquanto
arrogante la distinzione tra la vittima e il carnefice, usando oltretutto un tono sarcastico, a
tratti malevolo e comunque sconveniente rispetto alla delicatezza degli argomenti trattati.
Ancora, Scholem sostenne che Arendt fosse priva di Avahat Israel, ovvero di amore per
Israele, una nozione della tradizione ebraica che Arendt dichiara infatti di non comprendere.
Infine, l'Autore dichiarò di aver capito la radicalità del male di cui Arendt parlava in Le
origini del totalitarismo, ma di non comprenderne proprio la banalità, esposta in questo
nuovo scritto.
Il filosofo riuscì ad evidenziare una contraddizione tra ciò che Arendt scrisse ne Le
origini del totalismo sul male radicale e ciò che scrisse successivamente in La banalità del
male; l'Autrice fu costretta ritrattare e ad ammettere di aver cambiato idea: «ho cambiato
idea (...) e non parlo più di male radicale, ora credo che il male non sia mai radicale, ma che
sia solamente estremo e che non possieda né profondità né spessore demoniaco» e conclude
«solo il bene ha profondità e può essere radicale» (Ibidem, p. 227).
Arendt risponde con parole forti anche alle altre critiche. Innanzi tutto per lei esiste
solo l'individuo: «hai perfettamente ragione - non sono animata da alcun amore di questo
genere (...) nella mia vita non ho mai amato nessun popolo o collettività - né il popolo
tedesco, né quello americano, né la classe operaia. Io amo solo i miei amici e la sola specie
d'amore che conosco e in cui credo è l'amore per le persone» (Ibidem, p. 222). L'Autrice,
riteneva poi di avere non solo un diritto, ma addirittura un dovere di giudicare avvenimenti
che non aveva vissuto in prima persona.
Ne La banalità del male si legge: «la verità vera era che se il popolo ebraico fosse
stato davvero disorganizzato e senza capi, dappertutto ci sarebbe stato caos e disperazione,
ma le vittime non sarebbero mai state quasi sei milioni» (H.ARENDT, La banalità del male,
op. cit., p. 126). La trasgressione, forse eccessivamente incauta e sicuramente provocatoria
3
Dal dopoguerra in cui scriveva la Arendt (nonché dalla sua opera più
controversa del 1963, Eichmann in Jerusalem. A report on the banality of
Evil) il diritto penale si è evoluto ed è tuttora in fieri. A lungo il concetto di
colpevolezza di organizzazione è stato osteggiato, in primis, in Europa,
proprio dalla Germania, ma le cose stanno cambiando10. Questo scritto vuole
dimostrare che grandi passi in avanti sono stati fatti in materia di criteri di
imputazione ex crimine in capo ad enti collettivi, sia negli ordinamenti
common law, da sempre più accomodanti verso pragmatiche scelte di politica
criminale, che in quelli di civil law, più ossequiosi della dogmatica ed attenti
al rispetto ortodosso della Costituzione e delle categorie del diritto penale
classico.
Come è stato autorevolmente sostenuto «il futuro del diritto penale
d'impresa moderno è già cominciato, e poggia su basi strutturali, economiche e
criminologiche, radicalmente diverse da quelle sulle quali si è costruito, come
sovrastruttura, l'odierno diritto penale dell'impresa»11. Nonostante le aporie
che ancora presenta il d.lgs. 231/2001, dovute alla sua relativamente giovane
età, rispetto a Paesi in cui tale realtà è consolidata da moltissimo tempo (in
primis Regno Unito e Stati Uniti), «la responsabilità da reato dell'ente è una
conquista della civiltà giuridica, che nel futuro già iniziato ha solo bisogno di
mettere radici sempre più profonde»12.
(la Arendt si basa per lo più sul lavoro di Raul Hilberg, duramente criticato dalla maggior
parte degli storici) di Arendt fu quella di sostenere, non troppo implicitamente, il
collaborazionismo (termine usato per ben due volte nel libro) delle autorità ebraiche con i
nazisti. Le autorità ebraiche vengono definite «strumenti degli assassini» e «aiutanti delle
SS». Arendt ribatte a Scholem che se ogni vera resistenza era impossibile c'era almeno la
possibilità di non fare niente, e in quella circostanza non fare niente era proprio ciò che i capi
ebraici avrebbero dovuto fare. Tuttavia, va anche detto che P. LEVI e soprattutto Z.
BAUMAN (in Modernità e Olocausto, Il Mulino, Bologna, 1992) hanno poi ripreso la tesi
del collaborazionismo, senza provocare lo scalpore che fece esplodere la Arendt all'epoca (e
che tuttora non si è sopito), in questo senso si veda S. FORTI, Sulla normalità del male,
Feltrinelli “laEffeFilmFestival”, 2014, pp. 16-18.
10
A proposito della reticenza tedesca ad allinearsi al concetto di corporate criminal liability
si veda infra cap.I, § 1.5.
11
G.MARINUCCI, Diritto penale dell'impresa: il futuro è già cominciato, in Riv. it. dir.
proc. pen., fasc. 4, 2008, p.1465.
12
Ibidem, p. 1474.
4
Con l'articolo 24 bis introdotto dall'articolo 7 della legge 48/2008, il
crimine informatico societario è entrato in punta di piedi nel d.lgs. 231/2001;
quasi nessuno pare ancora essersene accorto.
L'identificazione del reo nel contesto criminale informatico è complessa
e anche quando avviene, la vittima (una banca, un'istituzione, un'azienda)
preferisce non denunciare, per non mostrare la sua vulnerabilità al mercato e
alla società. Si capisce allora come l'attuale assenza di giurisprudenza circa i
delitti informatici commessi ad interesse e vantaggio di un'azienda da un
dipendente o apicale nell'esercizio delle proprie funzioni, non rispecchi
necessariamente un'assenza dell'accadimento reale di questi reati. Non bisogna
infatti cadere nell'errato sillogismo per cui l'assenza di casistica nelle aule dei
tribunali rifletta necessariamente l'inesistenza di una criminalità informatica
societaria. Anzi, i corporate computer crimes nell'era della “società connessa”
non sono altro che l'anticamera dei reati societari classici, ovvero quasi sempre
a questi ultimi propedeutici. La scarsa diffusione della cultura informatica ha
permesso al virus del computer crime di prosperare senza essere percepito
come reato, quale invece è a tutti gli effetti; così le aziende risultano essere,
spesse volte, portatrici sane di una criminalità informatica inconsapevole.
L'art. 24 bis d.lgs. 231/2001 offre, a volerlo realmente attuare, una
straordinaria opportunità non solo per una necessaria e maggiore
sensibilizzazione verso la percezione del reato informatico come tale, ma
anche per la repressione di condotte che secondo i paradigmi classici di
imputazione resterebbero e restano impunite a causa della sempre maggiore
difficoltà nell'identificazione del cracker, autore materiale del reato. La
novella consente un corretto approccio alla sicurezza informatica: non sempre
la sicurezza è eccessivamente onerosa, come generalmente si crede.
Soprattutto se ci si concentra sull'anello debole che risulta essere sempre il
fattore umano.
5
Fino a quando le aziende continueranno ad usare la tecnologia, senza
sforzarsi di comprenderla più a fondo, i nostri dati personali, il capitale
intellettuale industriale, le informazioni riservate su un progetto, e così via,
saranno a rischio. I dati, le informazioni riservate, la proprietà intellettuale,
sono il nuovo petrolio. Proteggerli è o dovrebbe essere la nuova sfida dei
modelli organizzativi aziendali.
6
INTRODUZIONE
LA CRIMINALITÀ DI IMPRESA
“La scienza penalistica italiana sembra irrimediabilmente irrigidita attorno ai
suoi dogmi astratti, del tutto sganciati dalla realtà, il più eloquente dei quali
mi sembra quello che nega la possibilità che le società per azioni e i gruppi
siano responsabili penalmente, perché non possono andare in carcere”
F. Stella13
Questo scritto vuole porre una lente di ingrandimento sulle dinamiche
criminali non solo nell'impresa, ma dell'impresa in quanto ente collettivo e
soggetto di diritto.
L'obiettivo è il tentativo di coniugare due tematiche che in tempi recenti
hanno costituito due grandi innovazioni nel panorama giuridico italiano: il
superamento del principio societas delinquere non potest e la legge sulla
criminalità informatica del 18 marzo 2008, n. 48 che ha introdotto nel d.lgs. 8
giugno 2001, n. 231 l'articolo 24 bis rubricato “Delitti informatici e
trattamento illecito di dati”.
La parte iniziale del presente lavoro ha per oggetto lo studio dei diversi
criteri imputativi che la dottrina ha posto a fondamento della responsabilità ex
13
F. STELLA, Criminalità di impresa: nuovi modelli di intervento, in Riv. it. dir. proc. pen.,
fasc. 4, 1999, pp. 1255 ss. F. STELLA, già Professore ordinario di diritto penale
all'Università Cattolica del Sacro Cuore di Milano (1973 - 2006), il cui «insegnamento ha
influenzato tre generazioni di penalisti», nel settembre del 1994 «fu il primo ispiratore del
Progetto di Cernobbio: una soluzione giuridica per Tangentopoli, firmata da quattro
avvocati-professori insieme a quattro pm del pool milanese» così in Corriere della Sera, 10
luglio 2006, p. 29. La citazione è tratta proprio dal quarto di questo ciclo di incontri. Alla
memoria di F. STELLA è inoltre intitolato il “Centro Studi di Giustizia penale e Politica
criminale” (CSGP) diretto dal Prof. G. FORTI, presso l'Università Cattolica di Milano,
www.centridiricerca.unicatt.it/csgp.
7
crimine degli enti, criteri ampiamente utilizzati dagli ordinamenti di common
law, ma ben rappresentati, da quasi tre lustri, anche nel diritto italiano14.
Nel primo capitolo si indaga la nascita e la diffusione del dogma
societas delinquere non potest, per studiare poi l'iter che ha portato al suo
declino. La prima giurisprudenza che, in epoca moderna, ne minò le
fondamenta fu quella inglese, seguita da quella statunitense: esse per prime
scalfirono un principio cristallizzatosi nei secoli nei vari ordinamenti, sia di
civil che di common law. Per studiare il tramonto di questo dogma, che
coincide con l'alba del concetto di responsabilità penale delle società, sarà utile
soffermarsi, seppur brevemente, sul susseguirsi di teorie ritagliate intorno alla
societas come soggetto di diritto. Nella prima parte della trattazione ci
occuperemo delle teorie a fondamento della responsabilità da reato delle
società fin dal delinearsi delle universitas, ovvero, dagli albori del concetto di
persona giuridica nel diritto romano, per arrivare al periodo illuminista e alla
successiva epoca della pandettistica tedesca ottocentesca.
Nei paragrafi seguenti, tratteremo i criteri di imputazione utilizzati dalla
dottrina angloamericana fondanti la corporate criminal liability. Qui la chiara
e coraggiosa scelta di una responsabilità di tipo penale in capo alle società, pur
incontrando ancora autorevoli critiche15, ha il merito di ricercare una Giustizia
palpabile, che allontanandosi dall'ortodossia dogmatica, preferisce sposare
14
Questo lavoro beneficia, per la parte riguardante la dottrina angloamericana, di un periodo
di ricerca all'estero, che ho potuto svolgere grazie al bando thesis abroad dell'Università
Cattolica del Sacro Cuore di Milano, presso la Harvard University Law School di Cambridge
(Massachusetts, U.S.A.) durante il summer & fall term 2012.
15
Si veda per tutti V.S. KHANNA, Corporate Criminal Liability: What Purpose Does it
Serve? in Harvard Law Rev., Vol.109, n.7, 1996, p.1477 e dello stesso autore Is the Notion
of Corporate Fault a Faulty Notion? The Case of Corporate Mens Rea, in Boston Univ. Law
Rev. Vol. 79, 1999, p.355. Si anticipa qui che tra i sostenitori della corporate criminal
liability (da sempre la maggioranza negli Stati Uniti) c'è chi si chiede, volendo tracciarne un
bilancio disilluso, se questa non abbia fallito nel suo intento. In questo senso si veda il lavoro
di W.S. LAUFER, Corporate bodies and guilty minds. The failure of corporate criminal
liability, The University of Chicago Press, 2006.
8
scelte di opportunità di politica criminale. In questa logica pragmatica16 non
stupisce come le teorie dottrinali a fondamento della responsabilità in oggetto
possano risultare a volte lacunose o poco convincenti. Si vedranno quindi gli
sviluppi della dottrina angloamericana per verificarne il raggiunto o meno
grado di affidabilità.
In particolare, durante lo studio della dottrina americana, si è ravvisato
un andamento “a parabola” circa l'evoluzione del concetto di corporate
criminal liability negli Stati Uniti: a partire dalla celebre sentenza New York
Central & Hudson River Railroad del 1909, l'andamento della curva della
responsabilità risulta crescente; il tratto ascendente della curva, però, comincia
lentamente ad arrestarsi poco dopo l'emanazione delle Federal Sentencing
Guidelines del 199117. Dal collasso di Enron in poi (e di tutti gli scandali
finanziari successivi), la pubblica accusa diventa protagonista e stratega nella
stipula di accordi (agreements) con gli enti imputati: l'utilizzo dei Deferred o
Non Prosecution Agreements è tuttora in costante aumento. Le parti
“avversarie” delineano a tavolino “il costo” della salvezza, che viene in questo
modo, secondo molti, letteralmente “comprata”18. Il cd. “effetto Andersen”,
infatti, sembra in realtà non riguardare più la realtà attuale: le imprese
sopravvivono sul mercato (non collassano più come fu per Arthur Andersen, a
causa di una condanna penale, tra l'altro nel caso di specie poi annullata), le
parti offese sono ben risarcite, i prosecutors ottengono il pagamento di
16
G. DE SIMONE, Persone giuridiche e responsabilità da reato. Profili storici, dogmatici e
comparatistici, Pisa, ETS, 2012, p.33, parla a questo proposito di dogmatica in
contrapposizione a pragmatica.
17
Circa il “moto parabolico”, tuttora in fieri, del concetto di corporate criminal liability, si
veda infra, Cap. I, § 2.2.3.
18
Cfr. i recenti contributi di i G. MARKOFF, Arthur Andersen and the myth of the corporate
death penalty: corporate criminal convictions in the twenty-first century, in 5 U. Pa. J. Bus.
L. 707 (2013) e E.B. DISKANT, Comparative corporate criminal liability: exploring the
uniquely american doctrine through comparative criminal procedure, in The Yale Law
Journal, n. 1, 2008. Rilevano qui le enormi differenze tra l'ordinamento statunitense e quello
italiano: si noti che i DPA in Italia si scontrerebbero con la Costituzione (in primis con l'art.
112 Cost., ma anche con l’art. 111 Cost.), tuttavia esistono dei minimi punti di potenziale
contatto che sfruttano il concetto di cooperazione post-delictum, in un'ottica di reactive fault.
Si rinvia ai Cap. I, § 2.2.2 lett. c) e Cap. II, § 3.
9
sanzioni pecuniarie di enorme importo, che finiscono nelle casse dello Stato.
Tutti paiono giovarne, tranne i singoli dirigenti apicali, le bad apples: le
singole “mele marce” sono spesso oggetto del cd. reverse whistleblowing,
finendo per essere gli unici ad essere puniti realmente. E pronti ad essere ben
presto sostituiti.
Si cercherà di affrontare una riflessione circa la cd. «autoregolamentazione regolamentata»19 negli Stati Uniti, ovvero sul modello,
(esportato anche in Italia, non senza problemi di “adattamento”) dei
compliance programs e il conseguente “carrot stick approach” in ottica
preventiva: si tenterà di capire se sia bene tornare a studiare un concetto più
solido di colpevolezza di organizzazione al fine di imputare e perseguire i bad
trees (le corporations) in un processo di natura penale, oppure ritornare allo
stadio iniziale della parabola e colpire unicamente le bad apples (individui, di
solito apicali) con pene esemplari in una sterile logica retributiva. La
riflessione verrà poi spostata sull'ordinamento italiano, che si trova
attualmente all'apice del suo tratto di “curva parabolica” ascendente, si tratta
ora, anche per il nostro ordinamento, di fare una scelta: rafforzare la colpa di
organizzazione e il d.lgs. 231/2001, oppure fare un passo indietro come è
successo negli Stati Uniti.
Segue, quindi, un inquadramento dello stato dell'arte della dottrina
italiana che analizza come il concetto di corporate criminal liability abbia
L’espressione è di F. CENTONZE, La co-regolamentazione della criminalità di impresa
nel d.lgs. 231/2001. Il problema dell'importazione nell'ordinamento italiano, in Riv. Analisi
giuridica dell'economia, fasc. monografico ABRIANI - MEO - PRESTI, Società e modello
‘231’: ma colpa abbiamo noi?, n. 2, 2009; Cfr. anche il recentissimo contributo di S.
MANACORDA, La dinamica dei programmi di compliance aziendale: declino o
trasfigurazione del diritto penale dell'economia? in Le Società, n. 6, 2015, pp. 473-481, il
quale continua la riflessione cominciata da Centonze, illustrando i pericoli di una eccessiva
«trasfigurazione» del diritto penale dell'economia verso un diritto sempre più
«americanizzato», che mina al carattere eteronomo della norma penale, incentivando
l'accoglimento, nel settore penalistico, di logiche efficientistiche (valutazione/costi benefici)
tipicamente manageriali ed una contrattualizzazione in chiave privatistica dello strumento
punitivo (nella logica dei DPA e della colpa proattiva, elaborata dalla dottrina americana, che
valorizza all'eccesso la cooperazione post-delictum). In argomento, si rinvia al Cap. I, § 2.2.2
lett. C), nonché al Cap. II, § 3.
19
10
tentato e stia tentando un cauto ingresso anche nell'ordinamento italiano: qui il
terreno per il fiorire di una responsabilità di natura penale degli enti non è
certo fertile come nei Paesi di common law.
Approfondendo le posizioni emerse nell'ambito della meticolosa
dottrina italiana, si osserverà la contrapposizione di diverse opinioni dottrinali,
a cominciare dalla disputa, tuttora controversa, sulla natura20 della
responsabilità introdotta dal d.lgs. 231/2001: la recentissima sentenza delle
Sezioni Unite a riguardo (caso Thyssenkrupp) rappresenta forse il primo reale
tentativo di espletare la funzione nomofilattica dei giudici di legittimità su tale
tema. Si vedranno le prospettive de jure condendo a cui apre questa
importante sentenza - pur avallando un tertium genus di natura ibrida tra il
penale e l'amministrativo - sulla via di un vero e proprio secundum genus di
diritto penale, inteso come alternativo al diritto penale tradizionale e
“disegnato” sulla persona giuridica, priva dei caratteri di umanità, sui quali,
invece, sono state elaborate le categorie penali classiche. Tale sentenza risulta
di grande interesse circa il tema di questo lavoro, in quanto, pur non
risolvendo perentoriamente la questione della natura dell'addebito, riconosce,
per la prima volta, che «quale che sia l'etichetta che si voglia imporre (...) è
doveroso interrogarsi sulla compatibilità della disciplina legale con i principi
20
Della vexata quaestio sulla natura della responsabilità classificata dal d.lgs. 231/2001
come amministrativa, tratteremo in seguito; per ora basti dire che, nonostante il dato letterale
del d.lgs. 231/2001, valorizzato da alcuni autori (che quindi ritengono la responsabilità in
argomento puramente amministrativa), essa è dalla maggior parte della dottrina considerata
propriamente penale. Altra autorevole dottrina e recentemente le Sezioni Unite (Cass. pen.
SS. UU., 18 settembre 2014, n. 38343) hanno parlato di un tertium genus di responsabilità,
frutto della crasi tra responsabilità penale ed amministrativa. Infine c'è persino chi ha
azzardato un quartum genus originato della combinazione dei tre modelli fondamentali di
responsabilità: quello civile extracontrattuale, quello penale e quello amministrativo.
Analizzeremo il dibattito nel capitolo successivo, cercando, inoltre, di capire se trattasi solo
di una questione di etichette o, al contrario, di rilevanza tutt'altro che apparente, portandosi
dietro alcune conseguenze di non poco momento. Ad ingenerare ancora più confusione, c'è il
fatto che quasi ognuna delle diverse teorie qui accennate ha dalla sua parte il sostegno di una
o più sentenze della Cassazione: si perde quindi la funzione di nomofilachia che quest'ultima
dovrebbe avere.
11
costituzionali dell'ordinamento penale»21. Le Sezioni Unite si pronunciano per
la compatibilità, ma come si avrà modo di osservare, taluni dubbi sorgono,
specialmente con riguardo all'art. 27 Cost22.
Particolare attenzione sarà dedicata all'istituto dei modelli organizzativi,
mutuati dai compliance programs di diritto statunitense e alla loro complessa
valutazione giudiziale. Quest'ultima, infatti, presenta non pochi momenti di
incertezza: l'apprezzamento dell'idoneità e dell'efficacia del modello da parte
del giudice, richiamata dall'art. 6 e 7 del d.lgs. 231/2001 ai fini dell'esimente,
appaiono di frequente essenzialmente lasciate alla discrezionalità del
magistrato23. Tuttavia vedremo come questa è spesso un'apparenza e che il
problema della discrezionalità ne simula, in realtà, un altro.
Molta parte della dottrina e soprattutto le corporation hanno ravvisato
l'impossibilità oggettiva di sfuggire alla responsabilità, qualora si sia verificato
un reato presupposto, pur essendo stato adottato un modello organizzativo,
ritenendo l'esimente (contenuta agli art. 6 e 7 del d.lgs. 231/2001) una pura
utopia su carta: non si può negare il dato di fatto per cui, nella quasi totalità
21
Cass. pen. SS. UU., 18 settembre 2014, n. 38343, in Le Società, n. 2, 2015, con nota di R.
BARTOLI, Le Sezioni Unite prendono coscienza del nuovo paradigma punitivo del “sistema
231”, p. 215-229.
22
Si vedranno, in prospettiva de jure condendo, alcune interessanti teorie dottrinali che
mirano addirittura ad una modifica dell'art. 27 Cost. Si rinvia al Cap. I, § 3.1.
23
La valutazione giudiziale dell'idoneità ed efficacia del modello ha riferimenti letterali nel
testo di legge. All'art. 6 del d.lgs. 231/2001 una delle quattro cause di esclusione della
responsabilità afferma che se il reato è stato commesso da un apicale, l'ente non risponde se
prova che «l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione
del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di
quello verificatosi». Al seguente articolo 7, in riferimento a reati compiuti da un subordinato,
si legge che «in ogni caso, è esclusa l'inosservanza degli obblighi di direzione o vigilanza se
l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di
organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello
verificatosi». La discrezionalità del giudice è sentita anche nell'opinione pubblica, si veda
Avv. G. SABATO, Il Sole 24 Ore, Diritto 24, del 12 Marzo 2014, che riportando le parole
della sentenza in esame afferma: «il giudice non deve seguire personali convincimenti od
opinioni soggettive nella valutazione dei modelli. Egli dovrà, piuttosto, rifarsi ai principi
generali dell'ordinamento e, in primis, costituzionali ex articolo 41 comma 3, ai principi della
logica e ai portati della consolidata esperienza», tuttavia a fine dell'articolo aggiunge che il
giudice, chiamato a valutare l'adeguatezza del modello rispetto agli scopi di prevenzione che
esso si propone di raggiungere, dovrà compiere un giudizio «che ad una prima lettura lascia
presagire l'esercizio in futuro di un (fin troppo?) ampio margine di discrezionalità».
12
dei casi, quando un modello organizzativo varca un'aula giudiziaria, non ne
esce indenne. Le stesse aziende lamentano la profezia di una “Cassandra” che
incombe sulla loro testa: il modello non è idoneo e/o efficace, pertanto
l'esimente non può essere applicata. Dall'altra parte dell'aula giudiziaria, la
magistratura, sostenuta da altrettanta autorevole dottrina nega, sostenendo che,
piuttosto, non è evidentemente ancora stato capito come un modello debba
essere costruito affinché possa ritenersi idoneo e come debba essere applicato
per dirsi efficace. E questo certo non è un compito del giudice.
Il leading case che offre lo spunto per queste riflessioni è il c.d. caso
Impregilo S.p.a., in particolare la recente pronuncia della Cassazione che ha
annullato la prima valutazione giudiziale positiva di un modello aziendale24.
Tra le soluzioni proposte alcune, come quella di una certificazione preventiva
dei modelli si sono rivelate inaccettabili, altre invece offrono suggerimenti
interessanti, valorizzando il concetto di colpa normativa e «sfruttando le
opportunità che, nel diritto penale individuale, offre la ‘colpa specifica’»25.
Analizzeremo queste ultime in una prospettiva de iure condendo26.
24
Il Tribunale di Milano (Trib. Milano, G.U.P. E. Manzi, 17 Novembre 2009 in Le Società,
n. 4, 2010, pp. 476-482, con nota di C.E. PALIERO, La responsabilità dell'ente e cause di
esclusione della colpevolezza: decisione lassista o interpretazione costituzionalmente
orientata?) e la Corte d'Appello (C. App. Milano, 21 Marzo 2012, n. 1824, in
www.peanalecontemporaneo.it) avevano assolto Impregilo S.p.a., ex art. 6 lett. c) del d.lgs.
231/2001, poiché il modello organizzativo, considerato idoneo e efficacemente attuato, era
stato fraudolentemente eluso da soggetti apicali della persona giuridica, che aveva adottato
tutte le cautele previste dal d.lgs. 231/2001. Nel gennaio 2014, la Cassazione ha rovesciato la
valutazione giudiziale del modello di Impregilo S.p.a, ritenendolo non idoneo. Si conferma
così il consolidato trend negativo della valutazione giudiziale, che sembrerebbe ridurre
l'esimente ad una vera e propria utopia (cfr. Cass. pen., sez. V, 30 gennaio 2014, n. 4677, in
www.penalecontemporaneo.it, con nota di L. SANTANGELO).
25
C. PIERGALLINI, Il modello organizzativo alla verifica della prassi, in Le Società, fasc.
speciale, 12s, 2011, pp. 46-54.
26
Lo spunto per queste riflessioni mi è stato fornito in particolare dalle relazioni del giudice
del Trib. di Milano F. D'ARCANGELO in occasione del corso di formazione per la
magistratura onoraria dal titolo “Responsabilità amministrativa delle società e degli enti”,
tenutosi presso l'aula magna del Palazzo di Giustizia di Milano in data 9, 14 e 28 maggio
2014 e in occasione del tavolo di lavoro organizzato dall'autorevole rivista giuridica “La
responsabilità amministrativa delle società e degli enti” in data 30 settembre 2014 (il
programma può essere visionato qui www.rivista231.it/Video-Tavoli-Di-Lavoro-231-del-30Settembre-2014/). Si rinvia al Cap. I, § 3.3.
13
Il problema è rilevante in quanto in questa situazione la compliance,
che dovrebbe avere una funzione preventiva e di deterrenza non riesce più a
espletare il suo compito: quale impresa investirà in un modello organizzativo,
sapendo a priori che quasi certamente esso sarà stroncato in aula? L'esimente è
davvero un'utopia? Un modello idoneo ed efficace è possibile per le imprese?
Si cercherà di rispondere a tali domande anche utilizzando una “teoria
applicata” al d.lgs. 231/2001, ripresa dal noto filosofo contemporaneo (ed ex
trader) N.N. Taleb, il quale pone l'accento sul fatto che la prevenzione e la
previsione sono due cose differenti: la prima è sempre possibile, nonché
necessaria ed è bene che essa consideri sempre anche gli eventi rari e
potenzialmente catastrofici (i cosiddetti “Cigni Neri”); la seconda è pura “arte
divinatoria” e, dunque, non appropriata a materie “serie” come la
giurisprudenza o l'economia. Insomma, le imprese, ai fini dell'esimente ex art.
6 d.lgs. 231/2001, dovrebbero essere tenute sì a prevenire i reati-presupposto,
ma non certo a prevedere il futuro27.
Nel terzo capitolo si procederà inizialmente con una panoramica della
disciplina italiana in materia di reati informatici, partendo dalla legge 547/93
per arrivare alla Convenzione di Budapest e alla sua ratifica da parte dell'Italia
con la legge 48/2008, che introduce l'art. 24 bis nel d.lgs. 231/2001.
Verranno a questo punto analizzate le fattispecie penali richiamate
dall'art. 24 bis, sempre con un occhio di riguardo alle modalità di realizzazione
in ambito aziendale. Si darà conto dell'evoluzione che ha interessato le varie
fattispecie, di come i reati informatici siano attualmente presenti e percepiti
nella “compliance 231” e di quali siano le sanzioni (pecuniarie ed interdittive)
e le misure cautelari applicabili all'ente per il compimento di delitti informatici
che integrino i requisiti di cui agli art. 5, 6 e 7 del d.lgs. 231/2001.
27
In particolare si farà riferimento al terzo libro della trilogia di N.N. TALEB, Antifragile.
Prosperare nel disordine, Il Saggiatore, 2013; cfr. anche N.N. TALEB, Il Cigno Nero. Come
l'improbabile governa la nostra vita, Il Saggiatore, 2008; ID., Giocati dal caso. Il ruolo della
fortuna nella finanza e nella vita, Il Saggiatore, 2008; cfr. www.fooledbyrandomness.com.
14
Si analizzeranno le occasioni perse, ovvero disposizioni che sono
entrate e subito uscite dall'art. 24 bis in una manciata di settimane28, si
studieranno le disposizioni ingiustificatamente assenti dall'art. 24 bis, nonché
altre norme concernenti reati cd. “eventualmente informatici” (art. 25
quinquies e 25 nonies d.lgs. 231/2001).
Nella parte finale della trattazione si concentrerà l'attenzione su una
concreta analisi circa le potenziali modalità attraverso cui un'ipotetica società
Alpha potrebbe tutelarsi, implementando un valido modello organizzativo di
parte speciale relativo ai reati informatici. A questo proposito, si
evidenzieranno notevoli difficoltà, dovute in primis alla scarsissima
percezione del rischio da reato informatico, nonché dall'insufficiente
conoscenza della materia da parte delle imprese, che le porta costantemente ad
una preoccupante sottovalutazione del problema.
In secondo luogo, l'assenza di giurisprudenza circa i reati informatici
nel contesto collettivo del d.lgs. 231/2001 (nonostante siano ormai passati
sette anni dall'introduzione di questi nella normativa) impedisce di avere
chiaro alle aziende, nondimeno ai giudici, che cosa esattamente debba
contenere un modello per essere ritenuto idoneo ed efficace e funzionare da
esimente29.
Infine si farà luce sulle problematiche, sempre più numerose, legate alle
interferenze della legislazione sul rispetto dei diritti dei lavoratori (in
particolare l'art. 4 dello Statuto dei lavoratori) e della loro privacy (d.lgs.
28
Durante la conversione in legge, sotto il Governo Letta, d.l. 93/2013 (anche detto decreto
anti-femminicidio) in cui decaddero appunto le parti della norma relative alla “normativa
231” senza nemmeno venire discusse.
29
Occorre fin da ora porre in luce come sia necessario non cadere nella logica errata per cui
l'assenza di giurisprudenza sarebbe sinonimo di assenza del problema del rischio informatico
e dunque del verificarsi realmente dei reati in questione. Come si vedrà, infatti, l'assenza di
casistica giurisprudenziale non riflette affatto la realtà: i reati informatici sono all'ordine del
giorno (Cfr. Data Breach Investigations Report 2014 di Verizon, Rapporto sulla sicurezza
per il 2014 di Sophos; Rapporto CLUSIT 2014), ma sostanzialmente le aziende colpite sono
restie a denunciare per paura di un'auto-pubblicità negativa che ne evidenzierebbe la loro
potenziale vulnerabilità agli occhi dei clienti e del mercato. Esse entrano così in un deleterio
circolo vizioso che le porta a negare il problema, piuttosto che affrontarlo una volta per tutte,
come la nostra cd. società dell'informazione richiede già da tempo.
15
193/2003, cd. Codice Privacy) con l'attuazione effettiva del d.lgs. 231/2001.
L'argomento è di piena attualità, anche il recente Jobs Act ha toccato le corde
dell'art. 4 dello Statuto del lavoratori: tale articolo nell'attuale nuova
formulazione, non richiede più l'accordo con le rappresentanze sindacali o
l'autorizzazione del Ministero del lavoro per assegnare in dotazione ai
lavoratori dispositivi tecnologici (come smartphone o tablet) da utilizzare “per
rendere la prestazione lavorativa” o in riferimento agli strumenti per misurare
gli accessi (come i badge magnetici), “pur se dagli stessi derivi anche la
possibilità di un controllo a distanza del lavoratore”. Il datato Statuto dei
lavoratori si scontra qui con le ultime novità in fatto di policy aziendali
(BYOD, CYOD, COPE o COBO)30.
Va da sé che, stanti così le cose, l'implementazione dei modelli
organizzativi e di gestione in materia informatica non può ancora dirsi di certo
incentivata. Si cercherà, quindi, di delineare un modello ideale, che raccolga in
sé tanto le previsioni normative quanto le istanze e le esigenze concrete delle
imprese, che siano PMI o multinazionali. L'analisi presterà uno sguardo
costante alla disciplina comparata, in particolare a quella statunitense, e a
come i problemi in esame siano stati affrontati e risolti negli Stati Uniti,
soprattutto in relazione alle best pratices che verranno analizzate.
Esiste un modello ideale (resistente al vaglio giudiziale) possibile,
perlomeno in ambito informatico? A questo interrogativo si cercherà di
30
Si tratta degli acronimi di: Bring Your Own Device; Choose Your Own Device; Corporate
Owned, Personally Enabled e Corporate Owned, Business Only. La legge delega 183/2014
(Jobs Act), entrata in vigore il 16 dicembre 2014, ha concesso cinque deleghe al governo in
materia di lavoro. Gli ultimi decreti legislativi attuativi sono stati approvati lo scorso 11
giugno 2015 e sono effettivi dal 25 giugno 2015. Tra questi ultimi c'è anche il decreto
legislativo attuativo che, all'art. 23, ha modificato il testo dell'art. 4 dello Statuto dei
lavoratori. Tale decreto, attualmente sottoposto a parere parlamentare non vincolante,
coincide con l'atto del governo 176, denominato “decreto legislativo recante disposizioni di
razionalizzazione e semplificazione delle procedure e degli adempimenti a carico dei
cittadini e imprese e altre disposizioni in materia di pari opportunità” (consultabile online,
www.camera.it). La CIGL ha già affermato di volersi rivolgere al Garante della Privacy per
verificare la legittimità di tale modifica (si veda, ex multis, www.repubblica.it/economia, 17
giugno 2015). Su questo tema si rinvia al Cap. III, § 3.3.
16
rispondere nel corso di tutta la trattazione, cercando nell'ultimo capitolo, di
trovare le risposte.
17
18
I
LA FINE “TARDIVA” DI UN DOGMA
MENO “VETUSTO” DI QUANTO SI CREDA31
§1. ORIGINI STORICHE ED EVOLUZIONE DEL DOGMA SOCIETAS
DELINQUERE NON POTEST.
§1.1 I dubbi circa il divieto di responsabilità penale delle universitas nel diritto
romano e nel pensiero di Sinibaldo dei Fieschi §1.2 La dottrina medioevale di
canonisti e postglossatori: universitas delinquere et puniri potest §1.3
L'illuminismo e la Pandettistica tedesca: il vero (e unico) periodo aureo
l'apogeo del societas delinquere non potest e la teoria della finzione di
Savigny §1.4 La teoria della realtà di Gierke e il graduale superamento del
principio societas delinquere non potest §1.5 La resistenza alla
criminalizzazione degli enti nel modello tedesco (cenni).
«Non esiste oggi nessuna importante questione di dogmatica penalistica alla
cui chiara soluzione la via della storia o l'esame della criminologia non
31
L'espressione «la fine tardiva di un dogma» è di C. PIERGALLINI, nello scritto
Societas delinquere et puniri non potest: la fine tardiva di un dogma, in Riv. trim. dir. pen.
econ., n.15, 2002, fasc.3, p. 571. L'Autore voleva così sottolineare, alla luce dell'allora nuovo
d.lgs. 231/2001, l'esigenza, da tempo sentita di una presa di posizione circa il tema del
divieto di criminalizzazione degli enti. Tuttavia, chi scrive vorrebbe porre l'accento su come
il societas delinquere non potest è «un'idea che la dottrina penalistica contemporanea
dell'Europa continentale ha spesso presentato come ovvia e con radici antichissime, anche se
il broccardo che la racchiude ha di vetusto soltanto la lingua nella quale è stato espresso:la
sua formulazione non può farsi risalire oltre il diciottesimo secolo o la prima metà del
diciannovesimo, avendo dominato nei sette secoli precedenti l'opposta idea universitas
delinquere et puniri potest», così G. MARINUCCI, La responsabilità penale delle persone
giuridiche, uno schizzo storico-dogmatico, in Riv.e proc. pen.,fasc. 2-3, 2007, p. 345.
Concorde G. AMARELLI, Mito giuridico ed evoluzione della realtà: il crollo del
principio societas delinquere non potest, in Riv. trim. dir. pen. ec., n. 4, 2003, p.942, il quale
riconduce il principio dell'irresponsabilità penale «al novero dei dogmi prodotti durante
l'illuminismo».
Allo stesso modo, seppur in termini dubitativi, A. FALZEA, La responsabilità penale
delle persone giuridiche, in AA.VV, La responsabilità penale delle persone giuridiche in
diritto comunitario, Milano, Giuffrè, 1981; per ulteriori recenti argomentazioni autorevoli in
tal senso Cfr. DE SIMONE, Persone giuridiche e responsabilità da reato. Profili storici,
dogmatici e comparatistici, ETS, Pisa, 2012, pp. 35-115 e V. MONGILLO, Necessità e caso
nell'allocazione della responsabilità da reato tra individui ed enti collettivi considerazioni
alla luce dell'incontro tra società ferroviaria e giudice penale nell'Europa del XIX secolo, in
Riv. it. dir. proc. pen., fasc. 3, 2014, p.1291.
19
possano fornire un contributo fondamentale per l'approfondimento scientifico
del problema»
Würtenberger
§ 1.1 I DUBBI CIRCA IL DIVIETO DI RESPONSABILITÀ PENALE
DELLE UNIVERSITAS NEL DIRITTO ROMANO E NEL PENSIERO DI
SINIBALDO DEI FIESCHI
Il lemma “dogma”, dal latino dogma -ătis, significa «verità universale e
indiscutibile o affermata come tale»32, coincide, insomma, con un assioma.
Sebbene la materia giuridica non sia, come forse piuttosto la matematica,
luogo consono per supposte verità assolute, il “dogma giuridico” viene
definito come «principio teorico di un istituto giuridico, del quale costituisce il
sostrato fondamentale»33. L'istituto giuridico qui in esame, l'irresponsabilità
penale degli enti, si fonda sul “dogma giuridico” societas delinquere (et
puniri) non potest. Quest'ultimo vide la luce in concomitanza con la nascita
della cd. teoria della finzione, elaborata da Papa Innocenzo IV, al secolo
Sinibaldo dei Fieschi, intorno alla metà del XIII secolo, anche se a quel tempo
non ebbe successo; lo ebbe, invece, quando F.K.von Savigny la riprese (con le
opportune differenze) nel XIX secolo34. Ancora prima, già i romani
32
Esistono diversi tipi di dogma: filosofici, teologici, politici, scientifici. Per esempio, i
dogmi di fede nella teologia Cattolica, come la Trinità, sono concepiti come «verità
soprannaturali contenute, in modo implicito e esplicito, nella Rivelazione, e proposte dalla
Chiesa come verità di fede, oggettiva e immutabile». Per estensione, quindi, si considera
dogma «una cosa in cui si crede ciecamente e che non si pone in discussione». Così in
ENCICLOPEDIA TRECCANI, www.treccani.it/vocabolario/dogma/.
33
Ibidem.
34
Intorno alla metà del Duecento, in controtendenza con la dottrina dei canonisti e degli altri
giuristi medioevali (tra cui BARTOLO DA SASSOFERRATO) che propendevano per la
responsabilità penale dell'universitas, Papa Innocenzo IV (almeno inizialmente) la negava e
per farlo elaborò la cd. teoria della finzione. Egli interpretava l'universitas come una persona
ficta di una persona repraesentata, volendo alludere a categorie concettuali frutto di una
creazione intellettuale della scienza giuridica, anche se attraverso di esse si descrivevano e
rappresentavano situazioni che avevano già di per sé un valore e un rilievo giuridico. Nasce
così la teoria della finzione, seppur nella sua forma embrionale: verrà ripresa e sviluppata in
seguito, nel XIX secolo, come si vedrà, da Savigny, esponente di spicco della Scuola tedesca
20
affermavano “Quid enim municipes dolo facere possunt?”35, le ragioni, in
questo caso, andavano ricercate nella nozione di dolus romano36.
La dottrina tedesca ha immaginato un'interessante rappresentazione
grafica dell'oscillazione del pensiero giuridico circa la responsabilità penale
delle persone giuridiche, nello spazio di piano compreso tra un'ipotetica linea
simboleggiante la teoria dell'irresponsabilità ed un'altra, sovrastante la prima,
rappresentante la responsabilità penale delle persone giuridiche. L'oscillazione
sinusoidale, che il cangiante pensiero dottrinale ha disegnato nei secoli,
delle Pandette (peraltro con le opportune differenze, delle quali si dirà). Sinibaldo dei Fieschi
considerava le persone collettive alla stregua di personae fictae e affermava (in Super libros
quinque Decretalium, MDLXX, in c.52, X, V, 39, n. 1-2) che «impossibile est, quod
universitas delinquat» e che «universitatem vel collegium proferi excommunicationis
sententiam non potest». Da qui nacque il principio societas delinquere non potest, sul piano
giuridico era giustificato utilizzando la teoria della finzione, mentre sul piano pragmatico
mirava ad un fine più squisitamente politico: evitare che le scomuniche papali potessero
colpire le corporazioni civili o mercantili per fatti commessi dai loro membri.
In questo senso, Cfr. V. D'ACRI, La responsabilità delle persone giuridiche
derivante da reato, ed. Rubbettino, 2009, pp.18 ss. Per un approfondimento sulla teoria della
finzione, le differenze tra la teoria della finzione di Sinibaldo dei Fieschi e quella di molto
successiva, nonché più fortunata, di Friedrich Carl von Savigny (1781-1854) e in generale
sulle teorie su cui si è incardinato il concetto di persona giuridica, si veda R. ORESTANO, Il
problema delle persone giuridiche in diritto romano, Giappicchelli, Torino 1967.
35
ULPIANO, IV libro Digesto, terzo titolo del Dolo Malo, citato da A. COSSEDDU,
Responsabilità da reato degli enti collettivi: criteri di imputazione e tipologia delle sanzioni,
in Riv. trim. dir. pen. ec., 2005, p.7.
36
Con il termine dolus (dal greco dòlos, originariamente inteso come esca per i pesci,
simbolo di impiego di astuzia) nel diritto romano si indicava l'artificio, l'inganno e, quindi, la
cattiva intenzione, ovvero l'intento volto al nuocere, l'operare in danno altrui, con
consapevolezza delle conseguenze. In quanto artificio o inganno, il dolo era per i romani
(quasi) sempre malus e finì con l'indicare più semplicemente «l'atteggiamento psichico che
precede, ispira, accompagna la condotta umana, indirizzata ad un evento (...) riprovevole e
punito dall'ordine sociale e giuridico», così F. CANCELLI, voce dolo nel diritto romano,
lett. b) penale, in Enc. Dir., Giuffrè, Milano 1964, pp. 716 e ss.
Quindi «la nozione di dolo romano implicava necessariamente, non solo l'incapacità
degli enti collettivi di delinquere, ma anche la non suscettività di essi alla pena, potendo
invece essere perseguiti e puniti soltanto i singoli rappresentanti di tali enti» così D'ACRI,
op. cit., p.16.
È qui appena il caso di ricordare ciò che affermava il grande studioso del diritto
romano T. MOMMSEN (così come riportato da V. MANZINI, Trattato di diritto penale, p.
577, nota 4): «Sono esclusi dal diritto penale i soggetti di diritti, per i quali non sia possibile
fare questione di moralità. Codesta regola si applica a ogni comunità di più persone, anche
quando lo Stato ha ad esse riconosciuto la capacità di compiere atti giuridici. L'atto che dal
punto di vista del diritto patrimoniale, è considerato come atto della corporazione, dal punto
di vista morale e quindi penale, è ritenuto come atto degli individui che sono concorsi a
compierlo, e la pena essi soli colpisce».
21
interseca in due punti temporali la retta più bassa, caratterizzati quindi da una
drastica negazione del diritto corporativo: il periodo romano e, di molti secoli
posteriore, quello della teoria finzionistica di Savigny, diffusa nel diritto
penale successivamente dal grande giurista tedesco A. Feuerbach. Tra questi
due punti fermi sull'irresponsabilità penale, la curva sale, tangendo la linea
della responsabilità penale delle persone giuridiche sovrastante, prima in
coincidenza del periodo medioevale di canonisti e postglossatori (tra cui
spicca Bartolo da Sassoferrato) e, successivamente, in quello in cui nacque e si
diffuse la teoria della realtà di Gierke, opposta alla Fiktionstheorie 37.
Nonostante l'indubbio carattere suggestivo di tale visualizzazione
grafica dottrinale, occorrono alcune precisazioni.
Prima di tutto è necessario chiarire che al diritto romano, così come a
quello germanico ad esso contemporaneo, era ignoto il concetto di persona
giuridica come oggi è inteso. I classici conoscevano concetti di specie più
circoscritti, quali quelli di populus romanus, di colonia, di civitas e di
municipium, tra le collettività pubbliche, di collegium, sodalitas e sodalicium,
tra le corporazioni private. Benchè qualificati come corpora o universitates,
essi venivano però pur sempre concepiti nella loro concretezza, come
collettività di persone fisiche, e non come enti astratti. L'idea dell'universitas
come entità distinta da coloro che la compongono si affermò gradualmente e
solo più tardi, con il diritto giustinianeo, ove assunse più chiari connotati di
astrattezza38.
37
R. GOETZELER ha immaginato in veste grafica l'andamento storico delle posizioni
dottrinali a favore o meno della responsabilità penale delle persone giuridiche; allo stesso
modo J. RADULESCO, il quale individua un secondo tratto di curva ascendente, ancora in
corso di formazione, e colloca il suo punto iniziale tra la fine dell'Ottocento e l'inizio del
Novecento. Per i riferimenti alle opere in lingua tedesca e francese di questi due autori Cfr.
DE SIMONE, op.cit., p.40, nota 16.
38
Quello che qui importa sottolineare è che «ai giuristi classici era, in realtà, del tutto
sconosciuto un concetto unitario di persona giuridica, che fu invece il risultato di
teorizzazioni successive, risalenti ai giurenconsulti del XIV secolo, in special modo ai
canonisti, e poi riprese dalla pandettistica» (DE SIMONE, op.cit., p. 41). Ai tempi dei
romani c'erano solo collettività dette universitas e si deve anzi concludere, che la questione
della punibilità delle universitas non fu mai affrontata dal diritto romano in termini generali.
22
In secondo luogo, non si può ad oggi affermare con certezza che sia i
romani, che Papa Innocenzo IV, fossero assolutamente fermi su posizioni di
negazione assoluta della responsabilità penale in capo alle universitas.
Questi punti sono ancora aperti e dibattuti. Riguardo i romani, l'irresponsabilità
penale della persona giuridica porta (come abbiamo visto) a sostegno della sua tesi
un notissimo passo del Digesto (l. 15 paragrafo 1 D. de dolo malo 4,3), in cui
Ulpiano ammetteva l'esperibilità dell'actio de dolo malo unicamente nei confronti
degli amministratori di un municipium responsabili di frode e non contro questo
medesimo, incapace per sua natura di dolus e obbligato soltanto alla restituzione
dell'indebito arricchimento. L'opinione contraria però, è stata comunque suffragata
dal richiamo ad un altro passo del Digesto (l. 9 paragrafi 1 e 3 D. quod metus causa
I Glossatori civilisti bolognesi, pur ammettendo sulla scia di alcuni testi del Corpus
Iuris, la distinzione tra l'universitas e i suoi membri, non la consideravano (ancora) un'entità
contrapponibile ai singoli componenti, sicchè nel XIII secolo la Glossa accursiana
continuava ad affermare che universitas nihil est, nisi singuli homines qui ibi sunt. Sarà
invece nell'esperienza canonistica che, intorno alla stessa epoca, si giungerà ad applicare
correntemente il termine persona a situazioni di questo genere e a porre gradualmente il
problema della loro configurabilità come entità unitarie ed astratte, distinte dai singoli.
Il concetto di persona giuridica emerse, quindi, nell'ambito del diritto canonico, che
configurava l'idea delle persone giuridiche come qualcosa di distinto dalle persone fisiche
che la compongono. Si giunse così ad una visione più raffinata e moderna dell'universitas.
Fu proprio la familiarità con le nozioni teologiche, e in particolare con l'idea ormai
sedimentata nella teologia cristiana, della Chiesa come corpus mysticum separato e distinto
dalla corporalità fisica dei fedeli che la costituiscono, quella «freccia in più nell'arco dei
canonisti» (P.GROSSI, L'ordine giuridico medioevale, Bari, 1995, pp. 220-221), che
consentì loro di pervenire a teorizzare, prima dei civilisti, il concetto stesso di persona
giuridica.
I canonisti furono i primi a parlare di persona universitatis, di persona collegii e ad
affermare che universitas est persona, che universitas est quoddam individuum. E furono
sempre i canonisti a formulare la teoria delle personae fictae. Ciò in primo luogo, ad opera di
Sinibaldo dei Fieschi, il futuro Papa Innocenzo IV, questi affermò, utilizzando una metafora,
ovvero, una finzione giuridica, che il collegium in causa universitatis fingatur una persona,
non senza avvertire tuttavia che le universitates sono nomina iuris et non personarum. Da
qui la necessità di una continua rappresentanza, infatti, si legge nei suoi scritti, ad esempio
riguardo al capitolo (un collegio o adunanza di ecclesiastici) che in quanto nomen
intellectuale e res incorporalis, nihil facere posse nisi per membra sua.
Come al diritto romano, così anche al diritto germanico era ignoto il concetto di
persona giuridica. La collettività si identificava con l'insieme dei suoi membri e ciascuno di
questi insiemi veniva considerato titolare di diritti e di obblighi solo in quanto tale e non
come singolo individuo: la corporazione non esisteva al di fuori degli individui e questi non
esistevano al di fuori della corporazione. La più antica di queste comunità, la Sippe (gruppo
di famiglie aventi la stessa origine, corrispondente alla gens latina), era fondata sui vincoli di
sangue e ad essa spettavano funzioni giuridiche e latu sensu penali: il fatto criminoso era
questione da risolvere tra la Sippe dell'offensore e la Sippe dell'offeso. Tuttavia a quell'epoca
mancava la capacità di astrazione concettuale necessaria a tenere distinti dalla Sippe i
Sippengenossen che la impersonavano. Per approfondire Cfr. ORESTANO, op.cit., pp. 9 e
ss. e DE SIMONE, op.cit., pp. 41 ss.
23
4,2), nel quale sempre Ulpiano ammetteva l'esperibilità da parte di un privato
dell'actio quod metus causa (o della relativa eccezione, se convenuto) nei confronti
di un municipium i cui abitanti avevano estorto, all'attore, con minaccia, una
promessa scritta (cautio pollicitationis).
Come per i romani, anche per Sinibaldo la questione del suo appoggio pieno
o meno al societas delinquere non potest resta aperta e dubbia. Si afferma come
Innocenzo IV «non fosse in realtà estraneo al movimento di graduale adesione
canonistica ad un orientamento più deciso nei confronti della punibilità criminale di
una universitas»39. In relazione alla sua teoria della finzione abbiamo detto che non
ebbe molto seguito nel periodo in cui fu creata ed è parso ad alcuni come, in un
secondo momento, lo stesso Sinibaldo cominciò a non eliminare del tutto la
possibilità che una universitas potesse delinquere, escludendo a priori solo
l'eventuale sanzione della scomunica. Tuttavia, l'argomento della potenziale minaccia
della scomunica non fu da Sinibaldo considerato «così determinante da escludere del
tutto la possibilità di delinquere di una universitas»40. Egli si mostrò dunque aperto al
concetto di responsabilità: l'universitas avrebbe dovuto rispondere del fatto illecito
quando l'autore avesse agito per suo mandato o quando questa ne avesse
successivamente ratificato l'operato (e sarebbe bastata, a tal fine, anche solo
l'adesione della maggioranza dei suoi membri). Tuttavia, «resta tuttora il dubbio se
l'illustre canonista abbia effettivamente inteso ammettere un'autentica responsabilità
penale delle universitas. Vi è in effetti chi tende ad escluderlo, sostenendo che egli
piuttosto si limitava a condividere la tesi secondo cui nei loro confronti si poteva
agire solo civilmente e non in via criminale, quindi unicamente per ottenere una pena
pecuniaria»41.
Quanto alle pene applicabili alle universitas, egli riteneva che si dovesse ricorrere sia
sanzioni spirituali diverse dalla scomunica, quali la sospensione e l'interdetto, sia a
sanzioni pecuniarie, escludendo invece la possibilità di valersi di pene corporali e
della pena capitale (da sostituire eventualmente, con una pena pecuniaria).
Considerati i dubbi appena illustrati, si può concludere che il societas
delinquere non potest ha, con certezza, imperato per soli due secoli, a partire
dal successo della teoria della finzione savignana: tra il XIX (alcuni
sostengono già dalla fine del XVIII secolo) e il XX secolo. Il rigore con cui
tale brocardo viene interpretato induce quindi in errore sulla sua solidità
storica; infatti come abbiamo visto e come si dimostrerà qui di seguito,
l'impossibilità di muovere un rimprovero penale agli enti collettivi non solo
39
G. CHIODI, Delinquere ut universi. Scienza giuridica e responsabilità penale delle
universitates tra il XII e il XIII secolo, in Studi di storia del diritto, III, Giuffrè, Milano,
2000, p. 169.
40
Ibidem, p.165.
41
Cfr. DE SIMONE, op.cit, p. 45.
24
non è nel corso dei secoli affatto costante, ma la sua elaborazione formale è
altresì recente.
§
1.2
LA
DOTTRINA
MEDIEVALE
DI
CANONISTI
E
POSTGLOSSATORI: UNIVERSITAS DELINQUERE ET PUNIRI POTEST
Durante il Medioevo, il pensiero dominante era quello di canonisti e
postglossatori che giustificavano, paradossalmente attraverso la stessa teoria di
Sinibaldo dei Fieschi, la responsabilità criminale delle universitas.
La tesi della persona ficta per sostenere la tesi della capacità di
delinquere di una universitas fu usata inizialmente da Oldrado da Ponte e
Bartolo da Sassoferrato, quindi, poi, da tutti i postglossatori42.
L'idea della finzione, era fin troppo manipolabile ed ambigua perchè,
tramite la stessa non si potesse pervenire ad una conclusione addirittura
opposta a quella a cui era arrivato Sinibaldo e «i legisti non esitarono a
fronteggiare Sinibaldo sul suo stesso terreno e con le sue stesse armi»43.
A sottolinearne l'ambivalenza, autorevole dottrina tedesca, a proposito
della teoria finzionistica sostenne come «difficilmente (...) è dato rinvenire
nella storia del pensiero giuridico un'altra teoria, in sé altrettanto
contraddittoria, recepita e mantenuta acriticamente per secoli»44.
I postglossatori sostennero come non esistesse alcuna un'incompatibilità
di fondo logica assoluta tra la Fiktionsthoerie e la responsabilità penale delle
42
Prima ancora, già i glossatori pur rimanendo legati ad una visione collettivistica e
materiale del fenomeno associativo, nonchè al principio «universitas nihil aliud est nisi
singuli homines qui ibi sunt», giunsero ad ammettere la capacità di delinquere delle
universitates innanzi tutto nel caso in cui il delitto fosse stato deliberato e commesso dalla
totalità degli universi. Tuttavia trattandosi di un illecito, l'unanimità dei consensi era più
difficile da raggiungere, quindi anch'essi ricorsero alla “stampella giuridica” della finzione,
equiparando all'azione di tutti quella della maggioranza. I glossatori, però, non si spinsero
fino al punto di ammettere la responsabilità collettiva.
43
così DE SIMONE, op.cit., p.45.
44
DE SIMONE, op.cit., p.48: l'A. riporta le parole di E. HAFTER.
25
societates45. L'accoglimento della teoria finzionistica non aveva impedito, a
loro stessi e ai canonisti, il riconoscimento di una responsabilità diretta
dell'universitas, ovvero di approdare paradossalmente alla tesi esattamente
opposta a quella per cui la teoria finzionistica era nata con Sinibaldo.
Postglossatori e canonisti medioevali riuscirono a conciliare ciò che
appariva inconciliabile: finzione dell'ente e realismo del diritto penale.
Di notevole importanza, data l'auctoritas di cui godeva la sua dottrina,
fu l'insegnamento di Bartolo da Sassoferrato, secondo cui ben si poteva
arrivare alla conclusione di riconoscere in capo alle persone giuridiche una
autonoma capacità di delinquere e, quindi, ad ammettere una loro
responsabilità penale: «universitas potest delinquere, et contra eum potest
procedi»46. Tale responsabilità costituiva la naturale conseguenza della
concezione, allora ancora dominante, dell'identificazione tra societas e membri
(persone fisiche) che la componevano. Nell'ambito degli enti associativi la
componente collettivistica assumeva un rilievo essenziale, tanto da
determinare sul piano penale una loro responsabilità collettiva; da qui la
capacità dell'universitas di commettere delitti (universitas delinquere potest) e
di essere conseguentemente punita (universitas puniri potest).
Secondo Bartolo, che fu a capo della Scuola di Bologna, i crimini
dell'universitas potevano distinguersi in delicta propria e delicta impropria.
Nei primi rientravano innanzi tutto gli illeciti di pura omissione di solito
addebitati ai comuni (es. omessa denuncia, cattura o consegna di criminali,
omesso impedimento di incendi ecc) e poi quelli commissivi realizzabili
tramite un'azione corporativa, cioè quei fatti strettamente inerenti alle
45
«si quaeris, an universitas possit delinquere, respondeo: proprie non potest delinquere,
quia non est persona. (...) Tamen hoc est fictum positum pro vero: sicut ponimus nos
iuristae» (D. IV 2 Quod metus causa 9, I, n.4). La finzione dunque non era affatto una
barriera logico-concettuale insuperabile, ma diveniva, all'opposto, lo strumento teorico per
argomentare la capacità di delinquere dell'universitas.
46
Così BARTOLI A SAXOFERRATO, Tractatus super constitutiones ad reprimendum, in
Consilia Quaestiones, et Tractatus, Lugduni, 1550, f. 96 v. (col.2). Su questo punto si rinvia
a G. AMARELLI, Mito giuridico ed evoluzione della realtà: il crollo del principio societas
deliquere non potest, in Riv. trim. dir. pen. econ., 2003, p. 941 e ss.
26
disposizioni del suo statuto (es. i delitti economici di un corporazione). Nei
secondi rientravano quegli illeciti commissivi non inenerenti all'attività
statutaria dell'universitas e propriamente attribuibili solo a persone fisiche (es.
l'omicidio), ma ascrivibili all'universitas ove compiuti su suo mandato o
successivamente da essa ratificati.
Nell'ipotesi di delicta propria veniva considerato autore dell'illecito
l'ente in quanto tale ed i singoli membri coautori o istigatori; al contrario nei
delicta impropria l'autore dell'illecito era il singolo, mentre l'ente veniva
considerato un istigatore.
Affinché si ipotizzasse un delitto dell'universitas occorreva un'adunanza
convocata nelle forme corporative (di solito al suono di campane, corni o
tamburi) oppure, se l'incontro era stato casuale, si necessitava di modalità
“coreografiche”, tali da rendere corporativa la riunione. Occorreva che
l'illecito traesse origine da una risoluzione comune o che almeno fosse oggetto
a posteriori di una generale approvazione.
Quanto alle pene applicabili, la pena regina era quella pecuniaria, che si
sostituiva alle pene corporali. Si stabilì che le pene pecuniarie venissero
eseguite sul patrimonio dell'universitas e che soltanto ove questo si fosse
dimostrato incapiente venivano chiamati a risponderne i singoli. Nei casi in
cui era comminata la pena di morte, Bartolo la riteneva applicabile unicamente
agli esecutori materiali del delitto, mentre per la corporazione si doveva fare
ricorso a sanzioni pecuniarie di ammontare elevato. Altri giureconsulti
suggerirono in alternativa il ricorso a sanzioni più rigorose, come la confisca e
la distruzione dell'ente: pene che sopprimendo lo spiritus vitae della
collettività, venivano realmente ad “uccidere” la corporazione.
Riguardo alla preoccupazione di non gravare gli innocenti di una pena
sentita come ingiusta, furono previste esenzioni a favore di alcune categorie di
soggetti (come vecchi, minori, donne, non imputabili, ecc) così come chi fosse
assente al momento della decisione o chi avesse manifestato la propria
opposizione.
27
Bisogna precisare che anche i canonisti ed i commentatori medioevali
parleranno di persona ficta o repraesentata, ma nel senso di persona
raffigurata attraverso un atto della nostra mente (e non come molti riterranno,
fraintendendo l'espressione, nel senso di persona che può operare
necessariamente solo attraverso un rappresentante), si trattava, quindi, di
costruzioni intellettuali operate dalla scienza giuridica47.
Lo sforzo dei giuristi medioevali era stato quello di ricondurre ai vari
tipi di corpora e di universitates alla nozione di persona, intesa come uomo, al
fine di assimilarli a questo, attraverso un procedimento analogico48. Dalla fine
del XVI secolo si ebbero i primi tentativi di chiarire il rapporto tra l'elemento
naturalistico, cioè l'uomo in quanto entità fisica reale, e la sua considerazione
da parte del diritto, a cui i giuristi tenderanno a riservare la qualifica di
“persona”. La scuola del diritto, da quella romana a quella del XVIII secolo,
non aveva avuto difficoltà a considerare giuridicamente rilevanti anche
situazioni diverse dall'uomo, alle quali riferire diritti e obblighi.
Sembrava ormai certo, quindi, che potessero essere contemplate e
regolate, accanto all'uomo, anche situazioni di altro genere. Si distinguevano
due approcci: uno naturalistico che riteneva che la regolamentazione di queste
situazioni diverse dall'uomo, ma a lui analoghe, fossero implicite in un loro
intrinseco modo di essere; un altro, più normativistico, riteneva che la loro
47
Così ad es. BARTOLO da SASSOFERRATO (1314 - 1357) dirà che «universitas (...)
proprie non est persona, tamen hoc est fictum positum pro vero, sicut ponimus nos iuristae»;
BALDO degli UBALDI (1327 - 1400) ne parlerà come di una «imago quaedam, quae magis
intellectu quam sensu percipitur», come di qualcosa che «in iure tantum et intellectu
consistit», come di un «corpus intellectuale», come del risultato di un'astrazione
(«abstractive sumptum»), la cui «significatio est inventa per intellectum». Cfr. ORESTANO,
op.cit, p.9.
48
Sarà con il francese F. DUAREN (1509 - 1559), che questa analogia sarà spinta al
massimo: egli applicò al termine persona sia alle universitates sia ai suoi componenti e
sembrò così precludere, con grande anticipo, a un concetto unitario di personalità giuridica,
quale si avrà in posizioni di molto posteriori: «universitas est hominum societas, ita
contracta, ut una tantum persona esse appareat,a singulis differens personis, ex quibus ea
consta». Così, ORESTANO, op.cit., p.13. Nel secolo seguente, sulla stessa linea anche J.
DOMAT (1625 - 1696), in Loix civiles, tratterà sotto un unico titolo dedicato alle personnes
anche delle comunità ecclesiastiche e laiche, definite come assemblee di più persone unite in
un corpo formato per permesso del principe. Ibidem, p. 13.
28
esistenza fosse condizionata e la loro regolamentazione imposta da norme
positive.
La manipolazione di postglossatori e canonisti in periodo medioevale
della teoria della finzione, dopo secoli di successo, si indebolì davanti a
Savigny, che usò la stessa teoria nel senso originario di Sinibaldo dei Fieschi,
per dimostrare che universitas delinquere non potest49.
La tesi di canonisti e giuristi medievali della capacità penale delle
persone giuridiche, accolta anche negli statuti comunali, perdurò fino ai tempi
moderni50, quando, con l'Illuminismo e il pensiero di F.C. Von Savigny,
precursore della Pandettistica tedesca dell'Ottocento, si approdò all'opposto
principio societas delinquere non potest 51.
Da Savigny in avanti non si incontrò più nessuno, nel corso della
storiache per ammettere la responsabilità delle corporazioni, si valesse del
richiamo alla teorica della persona ficta. Quest'ultima divenne definitivamente
una delle argomentazioni contra la criminalizzazione degli enti, seppur ormai
di gran lunga più vulnerabile, dopo l'uso strumentale, ma brillante che ne
fecero i postglossatori a sostegno dell'opposta tesi: universitas delinquere
potest.
§ 1.3 L'ILLUMINISMO E LA PANDETTISTICA TEDESCA: IL VERO (E
UNICO) PERIODO AUREO DEL SOCIETAS DELINQUERE NON POTEST
E LA TEORIA DELLA FINZIONE DI SAVIGNY
49
«ciò non toglie, tuttavia, che, sul piano storico, la stessa (la teoria della finzione, ndr) abbia
offerto, da Savigny in poi, un consistente supporto culturale alla tesi dell'irresponsabilità»,
così DE SIMONE, op.cit., p.50.
50
Secondo ENCICLOPEDIA TRECCANI, http://www.treccani.it/enciclopedia/etamoderna/, si considera Età moderna «uno dei grandi periodi in cui si suole
convenzionalmente dividere, per lo più a scopi didattici e manualistici, la storia dell’umanità:
viene talvolta fatta cominciare con la caduta di Costantinopoli (1453), talaltra con la scoperta
dell’America (1492) e fatta concludere con la Rivoluzione francese o con il Congresso di
Vienna (1815); è caratterizzata soprattutto dalla nascita degli Stati moderni in Europa e dalla
colonizzazione da parte dell’Europa degli altri continenti)».
51
Cfr. D'ACRI, op. cit., p. 19.
29
La categorica esclusione di ogni responsabilità penale delle persone
giuridiche si fece “dogma” (come lo si definisce spesso in letteratura) in un
tempo relativamente breve, germogliando, crescendo e sviluppatosi nel
periodo dell'Illuminismo e della Pandettistica tedesca, a cavallo, quindi, tra la
fine del XVIII secolo e l'inizio del XIX secolo.
Gli ideali individualistici ed antropocentrici del Settecento dei Lumi
sfavorirono le comunità intermedie, che venivano viste come un ostacolo
frapposto tra l'individuo e lo Stato52, si cercò, quindi, di ridurre gli enti
collettivi,
privarli
dei
privilegi,
negando
loro
un'esistenza
reale,
subordinandone, invece, la rilevanza giuridica ad un previo riconoscimento da
parte dello Stato. Si affermava come l'unico soggetto possibile fosse l'uomo,
«declamato come unico essere reale»53, contrapposto alle persone (finzioni)
giuridiche.
Può dirsi che il vecchio oggettivismo naturalistico venne a restringersi
al solo individuo, risolvendosi in una concezione soggettivistica, la quale,
annullò l'oggettivismo normativistico: alle norme non venne più riconosciuta
la possibilità di creare, costituire, imporre o modificare situazioni giuridiche,
ma solo la funzione di tutelare e attuare diritti, considerati come da sempre
preesistenti e quindi indipendenti dalle norme stesse. Questo passaggio da una
concezione oggettivistica del diritto ad una soggettivistica, si realizzò
soprattutto con la Pandettistica tedesca tra la fine del XVIII e il XIX secolo54.
Quello che da allora venne chiamato il nuovo sistema del diritto fu
52
Non solo l'illuminismo, ma anche l'assolutismo ostacolò lo sviluppo dei gruppi corporativi
e delle associazioni collettive: contro le corporazioni si combinarono queste due forze
antagoniste, l'assolutismo regio e il liberalismo illuministico. L'assolutismo si prefisse di
eliminare ogni potere concorrente presente nello Stato e dunque si adoperò per privare le
corporazioni almeno del potere politico; l'illuminismo intese riservare soltanto allo Stato
quelle poche limitazioni alla libertà individuale che era disposto ad ammettere, ostacolando
quindi tutte le associazioni intermedie, che secondo la tradizione medioevale, vincolavano il
singolo. Furono così adottate misure politiche e amministrative che ridussero l'importanza e
la sfera di azione delle associazioni corporative e con ciò l'esigenza di provvedere ad una
loro punizione in senso penale passò in secondo piano.
53
D'ACRI, op.cit., p. 20.
54
Cfr per un approfondimento a riguardo ORESTANO, op.cit, pp. 17 ss.
30
concepito intorno alla nuova figura del subiectum iuris, espressione intesa non
più come qualcosa che si trova sottomesso ad una regolamentazione oggettiva,
ma come l'essere pensante e agente a cui i diritti soggettivi sarebbero
appartenuti nell'ambito della libertà naturale dell'individuo, come necessari
alla sua esistenza. Questo importante cambiamento di concezione del diritto
segnò una svolta problematica sulla questione oggetto d'esame: «se l'essere
soggetto di diritto doveva ritenersi una qualità dell'uomo in quanto tale e i
diritti soggettivi manifestazioni della sua potestà di volere, come ammettere
che potessero aversi soggetti di diritto diversi dall'uomo e per di più dotati di
quella capacità di essere artefici e portatori di tali diritti?»55
Con l'ideologia illuministica antropocentrica incentrata sul lume della
mente umana, in un sistema tutto basato sulla nozione di soggetto di diritto,
non c'era più posto per raggruppamenti di persone o anche complessi di beni
che non avessero ricevuto dal diritto positivo un trattamento ad hoc.
L'irrompere delle idee illuministiche segnò un deciso e irreversibile
cambiamento di paradigma: l'individuo assunse un ruolo di primo piano,
l'appartenere ad una corporazione ora era considerato come un'alienazione
55
Ibidem, p. 18; il passaggio dal potest al non potest riferito alla capacità dell'ente di
delinquere e dunque di essere sanzionata penalmente non fu tanto dovuto alla vecchia teoria
della finzione medioevale, interpretata in chiave savignana, infatti «non esiste
un'incompatibilità logica assoluta tra la Fiktionstheorie e responsabilità penale delle
societates (...) l'accoglimento di questa teoria non aveva impedito né ai canonisti, né ai
postglossatori il riconoscimento di una responsabilità diretta dell'universitas» (così DE
SIMONE, op.cit., p.50).
Come già sottolineato, da Savigny in avanti, tuttavia, questa ambivalenza e
ambiguità dell'argomentazione teorica finzionistica, cessò: nessuno più utilizzò la teoria della
finzione a sostegno della tesi della responsabilità penale delle universitas. Cfr. Ibidem, p.54:
«veniva così (...) inferto il colpo di grazia alla dottrina romanistica medioevale che,
sopravvivendo per secoli, era riuscita a combinare ciò che ora appariva inconciliabile (...):
d'ora in avanti chi vorrà sostenenere che societas delinquere non potest, non potrà ricorrere
ai “vecchi polverosi argomenti” di quella dottrina, ma dovrà piuttosto muovere alla ricerca di
nuovi e più credibili fondamenti teorici».
Secondo il Marinucci «la causa più profonda della progressiva scomparsa del
“delitto corporativo” è schiettamente economica: “il tramonto delle corporazioni”, che
frenavano lo sviluppo produttivo nella fase del passaggio all'economia urbana (...) a un
sistema produttivo più aperto alla libera concorrenza: un processo (...) alimentato anche dalle
idee dei riformatori illuministi, che sfociò nella progressiva abolizione delle corporazioni»,
così G.MARINUCCI, La responsabilità penale delle persone giuridiche. Uno schizzo
dogmatico storico-dogmatico, in Riv. it. dir. e proc. pen., fasc. 2-3, 2007, p.450.
31
intollerabile di una libertà che doveva essere assoluta, la Rivoluzione francese
fece dell'annientamento dei gruppi corporativi uno dei fondamenti della sua
Costituzione (decreto del 14-17 giugno 1791)56, dunque «non aveva più molto
senso, né alcuna utilità, continuare a discutere intorno a una loro capacità
penale»57.
Naturalmente, nella prassi, i casi di situazioni non riconducibili
all'uomo singolo erano innumerevoli, pertanto la difficoltà concettuale creata
dalla concezione soggettivistica del diritto andava risolta e tale concezione
offriva due vie di soluzione:
1) la prima consisteva nel mantener fermo che l'uomo in quanto l'unico
dotato di una volontà, fosse anche l'unico soggetto di diritto di cui
ammettere l'esistenza reale; di conseguenza occorreva considerare
artificiali e fittizi tutti gli altri soggetti diversi dall'individuo umano.
Questa via è conosciuta come Fiktionstheorie, la teoria della finzione di
Friedrich Karl von Savigny e come vedremo a breve, differente (oltre
che sicuramente più fortunata) dalla teoria della persona ficta di Papa
Innocenzo IV58.
2) La seconda soluzione consisteva nel cercare di dimostrare che, oltre all'
uomo persona fisica, esistevano altri possibili soggetti, anch'essi dotati
di un'esistenza e di una volontà altrettanto reali, quest'ultima viene
56
Secondo Mestre, le leggi rivoluzionarie francesi che negarono esistenza giuridica alle
corporazioni, furono influenzate dal pensiero di J.J. Rousseau, Cfr. E. BRUSA, Sulla
responsabilità delle persone morali secondo Achille Mestre, in Atti della Reale Accademia
delle scienze di Torino, vol XXXV, 1900, p.194 e ss.
57
DE SIMONE, op.cit., p.51.
58
La teoria della finzione è una teoria, come si è visto, vecchia di secoli (già Sinibaldo dei
Fieschi, la introdusse, senza molto seguito, nel XIII secolo, ma con grosse differenze rispetto
a quella savignana), che affonda le sue radici nelle opere dei giureconsulti medioevali (i
quali paradossalmente usarono la stessa teoria di Papa Innocenzo IV, per dimostrare la tesi
che quest'ultimo voleva confutare, da qui l'evidente ambivalenza della teoria in esame).
Tuttavia, si anticipa qui che con Savigny la Fiktionstheorie viene ad assumere un significato
nuovo: dall'idea della finzione dottrinale della teoria bartolista, si passa a quella della fictio
legis. Savigny si ispirò ad A. HEISE (1778 - 1851) un giurista tedesco che, cercando di
costruire una nozione sistematica di soggetto di diritto, per primo utilizzò il termine persone
giuridiche. In Heise si trovano i semi di entrambe le due teorie soggettivistiche qui introdotte
(la cd. teoria della finzione e quella della realtà). Così ORESTANO, op.cit., pp. 20-21.
32
quindi detta teoria della realtà, vantando come suo massimo esponente
e propugnatore il tedesco Otto von Gierke.
Vediamo allora di illustrare, prima di tutto, un po' più a fondo, la teoria
cd. della finzione di Savigny59. L'antropocentrismo illuminista inevitabilmente
si riversò nell'ordinamento: si negò alle persone giuridiche ogni legittimazione
ad agire, «se non attraverso il filtro rappresentativo delle singole persone
fisiche che le componevano»60. Fu negata la corresponsabilizzazione tra
59
F.K. von SAVIGNY (1781-1854) nel suo lavoro Sistema del diritto romano attuale del
1840, sottolineò con forza che «senza la volontà dello Stato non si avrebbero persone
giuridiche quale possibili soggetti di diritto». Le persone giuridiche, secondo il suo pensiero,
costituivano «persone artificiali create per semplice finzione». L'uomo, inteso
giusnaturalisticamente, è un soggetto di diritto, poiché «ogni diritto soggettivo esiste a causa
della libertà morale insita in ciascun uomo» e «pertanto il concetto primitivo di portatore o
soggetto di diritto deve coincidere con il concetto di uomo, perchè ogni singolo uomo, e solo
l'uomo singolo, è capace di diritti»; tuttavia Savigny ammise che questa capacità potesse
essere estesa dal diritto positivo, appunto con una finzione, anche alle persone giuridiche.
Oltre a Savigny, un altro grande giurista, A. FEUERBACH (già definito «il Savigny
del diritto penale» da S. LONGHI, La persona giuridica come soggetto di responsabilità
penale, in Riv. pen., 1906, p.416, nota 1) sostenne l'irresponsabilità penale delle persone
giuridiche, dapprima utilizzando argomenti come la sfasatura tra autori del reato ed eventuali
soggetti passivi della sanzione (la pena colpirebbe, per forza di cose, non solo i membri
attuali dell'universitas, ma anche quelli futuri), successivamente argomentazioni derivanti
dalla teoria di Savigny.
Anche secondo G.F.PUCHTA (1798 - 1846) allievo di Savigny, ed esponente della
Pandettistica tedesca, le persone giuridiche sarebbero finzioni volute dal legislatore,cioè
sarebbero tali solo quando ci fosse stata precedentemente una disposizione legislativa che le
riconoscesse come soggetti di diritto. Puchta raggruppò le persone giuridiche sotto l'unico
concetto di universitates, distinguendole poi in universitates personarum, ovvero le
associazioni (con un substrato fatto di persone associate), e universitatem rerum, le
fondazioni (con substrato uguale a un complesso di beni). Per approfondire si veda
ORESTANO, op.cit., pp. 21 ss.
60
D'ACRI, op.cit., p. 20. In questo senso anche F. BRICOLA nel suo celebre scritto Il costo
del principio societas delinquere non potest nell'attuale dimensione del fenomeno societario,
in Riv. ital. dir. proc. pen., Giuffrè 1970, p. 958-959 afferma che: «sul terreno costituzionale
non va sottaciuto che l'interpretazione della normativa costituzionale (...) muove dalla
premessa di risolvere nei termini della rappresentanza il rapporto intercorrente tra la persona
giuridica e le persone fisiche che agiscono a suo nome: solo entro questi limiti la
responsabilità della prima, in quanto responsabilità del rappresentato per il fatto del
rappresentante, può assumere inequivocabilmente i contorni di quella imputazione indiretta
vietata dal disposto costituzionale». Bricola riconosceva la necessità del superamento del
principio societas delinquere non potest; tuttavia, ritenendo la punibilità delle persone
giuridiche in contrasto con il principio di colpevolezza ex articolo 27 della Costituzione,
l'Autore fu artefice di una brillante ed originale soluzione (cd. “tesi bricoliana” sulle misure
di sicurezza), che si incentrava non sulla colpevolezza degli enti, bensì sulla loro oggettiva
pericolosità sociale, di modo da prevedere in capo a questi ultimi non una sanzione penale,
33
soggetti collettivi e persone fisiche che agivano in loro nome o per loro conto:
«da qui in altre parole, l'introduzione, in campo penale, del principio societas
delinquere non potest»61. Con il successivo affermarsi della Scuola delle
Pandette tedesca, nell'Ottocento, si fornì quello che sembrò un valido supporto
dogmatico alla teoria dell'irresponsabilità penale delle universitas, che era
tanto conveniente a queste ultime, quanto bisognosa di una forte
giustificazione giuridica. A questo scopo, Savigny, inaugurò la teoria della
finzione, da non confondere con quella, identificata dal medesimo nome, di
Papa Innocenzo IV.
Come abbiamo già avuto modo di vedere, la fictio medioevale di
Sinibaldo dei Fieschi, riguardava la rappresentazione mentale e intellettuale
dei giuristi62, mentre la finzione di Savigny era uno strumento di cui disponeva
il legislatore e che quindi non aveva affatto valore assoluto, ma lo assumeva
solo quando il legislatore decideva di utilizzarlo. Quindi, come per i
medioevali era necessario un giurista per descrivere la rappresentazione
mentale di situazioni però già considerate come aventi a priori un valore
giuridico, ovvero, il lavoro di immaginazione del giurista non era affatto
costitutivo della giuridicità dell'oggetto, al contrario per Savigny era
considerata condizione essenziale per l'esistenza nel mondo del diritto, e
quindi per la giuridicità stessa dell'universitas in questione, la fictio esercitata
dal legislatore.
Grazie a questa teoria il principio societas delinquere non potest
divenne «uno dei cardini inattaccabili del diritto penale classico»63 in tutti i
paesi di civil law. Essa si rifaceva agli ideali individualisti dell'illuminismo e
ma l'applicazione di misure di sicurezza, preservando così sine dubio l'articolo 27 della
Costituzione.
61
Ibidem.
62
Come si può dedurre dalle parole di Bartolo da Sassoferrato: «sicut ponimus nos iuristae»
in F. GALGANO, Trattato di diritto Civile, vol. I, Cedam, Milano, 2010, p.185.
63
AMARELLI, op.cit., p. 943.
34
al principio giusnaturalistico64, secondo cui il concetto primitivo di persona
come portatore o soggetto di diritto deve coincidere col concetto di uomo,
poiché solo l'uomo singolo è capace di diritti. Savigny ammise che tale
capacità potesse essere estesa dal diritto positivo anche ad altri soggetti
artificiali, ovvero alle persone giuridiche, creati per semplice finzione 65,
appunto, del legislatore: «al di fuori dell'uomo, della persona fisica in quanto
entità naturale, non potevano dunque esistere in rerum natura altri soggetti,
altre entità capaci di diritti e di obblighi, se non per esclusiva volontà del
legislatore»66.
La fictio, quindi, riguardava il legislatore e proprio qui stava la
differenza con la teoria della persona ficta di Sinibaldo dei Fieschi.
Il legislatore, restando inteso che solo l'uomo era considerato una
persona reale, fingeva, per esempio che l'entità associativa o la fondazione
fossero persone e, quindi, soggetti di diritto, cosa che sarebbe riservata, nella
realtà delle cose, esclusivamente all'uomo persona fisica. Insomma la persona
giuridica nient'altro era «se non una finzione priva di una base empirica, che
poteva vivere solo nel mondo del diritto»67, di conseguenza nessun fatto era ad
essa riferibile, se non attraverso i meccanismi di imputazione che erano
stabiliti dalla legge.
64
Sotto la spinta ideologica dell'individualismo illuminista giusnaturalistico, si vollero far
coincidere lo status hominis naturalis e lo status hominis civilis, cioè la nozione di uomo
come dato naturalistico e la nozione di persona come dato giuridico, sostenendosi che ogni
uomo sarebbe in quanto tale, per se stesso, un portatore di diritti soggettivi, tutti rapportabili
alla sua potestà di volere, elevata a emblema naturale della sua personalità e ad elemento
motore dei rapporti giuridici a lui facenti capo.
65
L'aver degradato la personalità degli enti diversi dall'uomo a mera finzione servì a Savigny
per ribadire il concetto che l'intero sistema giuridico fosse da costruire in funzione
dell'individuo e dei suoi diritti, perchè era appunto all'individuo che venivano assimilate
attraverso un procedimento di finzione queste figure di cui il diritto positivo poteva servirsi
in vista di particolari scopi a suo arbitrio. Si posero così le basi di quella che venne perciò
detta teoria della finzione, secondo la quale al di fuori della persona fisica, cioè l'uomo in
quanto entità naturale, non esisterebbero altre entità capaci di diritti e di obblighi, se non per
esclusiva volontà del legislatore, il quale finge in un'associazione di uomini o in un insieme
di beni l'esistenza di un'unità, considerata anch'essa persona e come tale assunta a soggetto di
diritto. Così, ORESTANO, op.cit., pp. 23-24; Cfr. DE SIMONE, op.cit., pp. 53 ss.
66
D'ACRI, op.cit., p. 20.
67
ORESTANO, op.cit., p. 21 e ss.
35
Da qui, si ricava la negazione di ogni responsabilità penale in capo alle
persone giuridiche, infatti, come afferma Savigny, «ciò che si ritiene delitto
delle persone giuridiche, non è che il delitto di coloro che ne sono membri o
che li governano, ossia individui singoli, persone naturali. Punire per un delitto
la persona giuridica sarebbe violare un principio fondamentale del diritto
penale, quello dell'identità tra condannato e delinquente»68.
Si possono, a questo punto, ricavare due corollari dalla fictio appena
vista:
1) prima di tutto sembrava inammissibile una punibilità delle persone
giuridiche; risultava evidente la mancanza, di un requisito essenziale su
cui basare un giudizio di responsabilità, l'elemento psicologico della
persona giuridica, quello che gli anglosassoni chiamerebbero mens rea
della corporation e che noi chiamiamo colpevolezza dell'impresa.
Mancherebbe insomma il presupposto logico e normativo. Secondo
Savigny l'ente collettivo non era dotato di una propria volontà
autonoma, poichè la sua manifestazione esterna altro non era se non la
summa delle volontà dei singoli membri dell'ente stesso69.
2) In secondo luogo, la responsabilità in questione sembrava costituire
un'inaccettabile responsabilità per fatto altrui per almeno due motivi:
per prima cosa, il fatto di reato non sarebbe della persona giuridica, ma
del soggetto che agisce in suo nome o per suo conto; secondariamente
la sanzione penale si sarebbe scaricata su terzi innocenti, come i soci,
con buona pace del principio secondo cui ci deve essere identità tra chi
subisce la pena e chi compie il reato.
68
F.K. VON SAVIGNY, Sistema di diritto romano attuale, II, Torino, 1888.
Più precisamente, secondo Savigny, le persone giuridiche dovevano ritenersi sì dotate
della capacità di volere, ma solo limitatamente alle singole fattispecie che avrebbero
consentito alle stesse di raggiungere lo scopo giuridico a cui erano preposte, mediante la
partecipazione all'attività commerciale; così F.K.SAVIGNY, Sistema di diritto romano
attuale, II, Torino 1888, p. 316.
69
36
In conclusione la responsabilità civile70 era limitata dal predominio
dell'imputazione colposa del fatto dannoso cagionato dall'ente, quella penale,
per i motivi che abbiamo appena esposto, era del tutto esclusa, sopravvivendo
solo la possibilità di imputare i soli rappresentanti dell'ente, i cd. uomini di
paglia71, facilmente sostituibili. Mentre però, la responsabilità civile, da allora
è andata verso una oggettiva assunzione del rischio e una maggiore
responsabilizzazione delle persone giuridiche, non si può altrettanto dire della
responsabilità penale negli ordinamenti di civil law, dove per tutto il secolo
scorso è rimasto in vigore, il societas puniri non potest. Non così è stato per i
paesi di common law, che già a metà dell'Ottocento cominciarono a dare
grandi segni di evoluzione e cambiamento.
Va, infine, detto che la teoria della finzione ebbe le sue radici nel
pensiero individualista e antropocentrico illuminista, ma continua ad avere
successo nei secoli, anche se i presupposti ideologici che l'hanno ispirata
risultano stravolti: si rileva, infatti, che le dottrine statualiste del XIX secolo,
la utilizzeranno come base speculativa per cercare di realizzare le loro
tendenze assolutistiche, miranti a risolvere tutto il diritto nella volontà dello
Stato72.
70
Secondo Savigny in conclusione la capacità della persona giuridica non era identificabile
con quella della persona fisica, poiché, mentre quest'ultima si estendeva in ogni ambito della
vita sociale e in ogni settore dell'ordinamento giuridico, quella della persona giuridica era
limitata ai rapporti di diritto privato. Inoltre, affinché un'entità collettiva fosse classificabile
come persona giuridica doveva presentare il requisito di un patrimonio proprio. Per Savigny,
dunque, la persona giuridica poteva dirsi esistente soltanto con riferimento a rapporti
patrimoniali.
71
L'espressione è di BRICOLA, op.cit., p. 1002.
72
ORESTANO, op.cit., in nota n.39 p. 24, sottolinea come la teoria della finzione fosse
seguita anche da nostro codice civile del 1865, ove, all'art 2, sotto l'evidente presupposto che
solo gli esseri umani fossero propriamente persone, si disponeva che «i comuni, le province,
gli istituti pubblici civili od ecclesiastici, ed in genere tutti i corpi morali legalmente
riconosciuti sono considerati come persone e godono dei diritti civili secondo le leggi e gli
usi osservati come diritto pubblico». Al contrario il Codice successivo del 1942 segue un
criterio formale.
37
§ 1.4 LA TEORIA DELLA REALTÀ DI GIERKE E IL GRADUALE
SUPERAMENTO DEL PRINCIPIO SOCIETAS DELINQUERE NON
POTEST
Quasi contemporaneamente allo sviluppo della teoria della finzione
della Pandettistica tedesca, una corrente di pensiero opposta, ed appunto
denominata “teoria della realtà”, prese piede anche grazie al suo massimo
teorico ed esponente Otto von Gierke73. Questa corrente considerava le
persone giuridiche come organismi naturali74, riconosceva a queste
un'intrinseca natura giuridica, non era quindi più necessaria alcuna finzione
analogica che le accumunasse alle realmente viventi persone fisiche; il cardine
su cui si fondava era il fatto che l'individuo, tanto esaltato dalla teoria di
Savigny nel periodo illuminista, in realtà spesso, isolatamente considerato, non
era in grado di raggiungere scopi che invece avrebbe potuto soddisfare
nell'ambito di organizzazioni o gruppi sociali. Ci si rende conto che, sempre
più spesso, gli obiettivi dei singoli, per durata, strutture o mezzi richiesti, non
erano più perseguibili dall'uomo inteso come individuo, le cose invece
cambiavano in meglio inserendo il singolo nella struttura organizzata di un
ente collettivo75. La tesi ebbe successo anche tra i canonisti contemporanei.
L'ente è quindi considerato reale al pari dell'individuo, non è più una
mera astrazione fittizia: anche i gruppi sociali, ora, sono considerati una
precisa e concreta realtà nel mondo delle relazioni umane, al pare degli
individui isolatamente considerati. Il merito della teoria organica (o della
73
L'antesignano di questa teoria fu il tedesco Georg von Beseler (1809-1855), la quale ebbe
per massimo e tenace propugnatore un altro tedesco: Otto von Gierke (1841-1921), questi è
stato definito da K.SCHMIDT “il Richard Wagner della giurisprudenza”. Cfr. ORESTANO,
op. cit., p. 26; DE SIMONE, op.cit., pp.59 ss.
74
Per questo motivo, la teoria della realtà è anche chiamata teoria organica. Ibidem, p. 26.
75
Cfr. D'ACRI, op.cit., pp. 23-24: «in questa prospettiva, dunque, anche i gruppi sociali
sarebbero una concreta realtà nel mondo delle relazioni umane, al pari o forse più dei singoli
individui. Essi, al pari dell'uomo, avrebbero un'esistenza naturale e reale, in base alla quale
presenterebbero di per sé i caratteri della giuridicità, a prescindere dall'intervento del
legislatore e dalle norme positive; sarebbero inoltre portatori di interessi propri distinti da
quelli delle persone fisiche che ne fanno parte».
38
realtà) è stato quello di creare un appiglio per considerare anche la persona
giuridica un soggetto di diritto. Lo si fece con lo stesso metodo che si era usato
per la persona fisica: mentre là si era cercato di «elevare a dato giuridico il
dato naturalistico della persona fisica, facendolo coincidere di per sé con la
nozione di soggetto di diritto, così la teoria della realtà cercò di fare altrettanto
con le persone giuridiche, sforzandosi di determinare una loro nozione
altrettanto realistica, che consentisse di considerarle di per sé soggetti di
diritto, in base ad un'asserita loro intrinseca natura giuridica, senza bisogno di
ricorrere ad analogie o finzioni»76.
La cosa fondamentale in questa teoria, e che la distingue nettamente
dalla teoria di Savigny, è che non necessita, da parte del legislatore, di alcun
riconoscimento formale che assimili le persone giuridiche all’uomo, infatti
esse avrebbero un'esistenza naturale e reale al pari dell'essere umano.
Si può, quindi, concludere che la differenza fondamentale tra la teoria
della finzione e quella organica stia nel fatto che nella prima l'intervento dello
Stato è un elemento costitutivo, mentre nella seconda esso ha un mero valore
dichiarativo. Nel dettaglio, mentre per Savigny il riconoscimento statuale
rappresenta la condicio sine qua non affinché la persona giuridica esista, per
Gierke, al contrario, esso non sarebbe affatto una condizione di esistenza degli
enti, ma una mera dichiarazione, certificazione di quanto già si avrebbe nella
realtà. Il legislatore, insomma, si limiterebbe a constatare un quid già
giusnaturalisticamente esistente, senza creare o costituire nulla.
La teoria della realtà non tarda a riversare i suoi effetti sulla
responsabilità penale degli enti: all'opposto della teoria della finzione (che
giustificava un'irresponsabilità criminale delle universitas) la teoria della realtà
considera le persone giuridiche come veri e propri organismi con una vera e
propria volontà, al pari di un essere umano; essa rende possibile, tramite il
76
ORESTANO, op.cit., p. 26.
39
rapporto di immedesimazione organica77, imputare all'ente non solo gli atti
leciti compiuti dai propri organi, ma anche quelli illeciti. Ora gli enti collettivi,
attraverso l'agire dei propri organi, possono commettere reati, esserne
considerati responsabili e subirne le conseguenze penali, ovvero: societas
delinquere et puniri potest 78.
Un ultima postilla sulla teoria della realtà di Gierke: mentre
quest'ultimo diede alle stampe il primo volume della sua monumentale opera
che ne conteneva già i fondamenti, il societas delinquere non potest era ormai
elevato a communis opinio, nel senso che non ci si preoccupava nemmeno di
inserire tale principio nei codici che andavano formandosi, non se ne
percepiva la necessità o impellente esigenza, era dato per scontato. Questo
perchè sia l'assolutismo che l'illuminismo fecero cadere quasi totalmente le
corporazioni e associazioni collettive, queste persero gradualmente valore e
potere e con ciò venne meno la pratica necessità della loro punizione. Per
questo motivo l'opera e la teoria di Gierke vennero sempre lette come una pura
astrazione teorica. Poco dopo, con il decollo di imprese di grandi dimensioni e
delle società di capitali, conseguente all'innovazione tecnologica e alla
produzione industriale su larga scala, si tornò nuovamente alla necessità (e non
più solo velleità teorica) di estendere anche agli enti collettivi il controllo
penale. Il nuovo approccio, decisamente più pragmatico e in prospettiva più
77
La teoria dell'immedesimazione organica, verrà ripresa, come vedremo anche dall'odierna
dottrina italiana per giustificare la colpevolezza d'impresa e superare il principio societas
delinquere (et puniri) non potest.
78
Entrambe le teorie viste si prestano a critiche che qui non possono essere analizzate, basti
dire che esse non riuscirono a dare una spiegazione efficace per ognuna di tutte le diverse
sfumature contenute nella nozione di persone giuridica. La teoria della finzione di Savigny,
per esempio, «dovette ammettere una differenza di substrato tra corporazioni e fondazioni,
parlando per le prime di una personificazione fittizia dell'insieme dei loro membri e per le
seconde di una personificazione fittizia dello scopo o del patrimonio, ma pure ammettendo
che accanto alle situazioni qualificate persone giuridiche aventi un'esistenza artificiale ed
arbitraria, ve ne fossero altre, addirittura più antiche dello stato stesso, aventi un'esistenza
naturale o anche necessaria come le comunità o i villaggi». A sua volta «la teoria della realtà,
costruita con la mente rivolta soprattutto a fenomeni corporativi, non seppe mai dare un
adeguato inquadramento alle situazioni di mero carattere patrimoniale, le cosiddette
universitas rerum, tanto che alcuni suoi seguaci ne tacevano completamente, mentre altri,
pur essendo fermi assertori della realtà delle corporazioni, finirono per parlare anch'essi di
finzioni rispetto alle fondazioni». Così D'ACRI, op.cit., p. 29 e ss.
40
politico-criminale che rigorosamente dogmatica fu inaugurato da Fraz von
Liszt, ispirato dal lavoro di Gierke, nel manuale dedicato al “reato come
azione”79 e poi trattato ex professo, dal Congresso di Bucarest del 192980.
§ 1.5 LA RESISTENZA ALLA CRIMINALIZZAZIONE DEGLI ENTI NEL
MODELLO TEDESCO ATTUALE (CENNI)
La venerazione del brocardo societas delinquere et puniri non potest
ha a lungo portato a desumere un'incompatibilità dogmatica tra i sistemi di
civil law e la responsabilità penale degli enti, dando spazio al massimo ad una
responsabilità di natura amministrativa o civile.
79
Secondo F.V. LISZT i presupposti della capacità di agire della corporazione nel diritto
penale non sarebbero stati diversi da quelli richiesti dal diritto civile o dal diritto pubblico.
Egli sosteneva che chi può concludere contratti, può concludere anche contratti fraudolenti o
usurari per esempio o non rispettare dei contratti già conclusi. La corporazione sarebbe
titolare di beni giuridici “diminuibili” o “annientabili” per mezzo di sanzioni criminali e il
riconoscimento di una sia responsabilità penale sarebbe auspicabile in quanto l'azione, dietro
la quale sta l'ente e non il singolo, assumerebbe un diverso e più pregnante significato.
Secondo l'Autore contrasterebbe poi con il senso di Giustizia, oltre che con i principi di una
corretta politica criminale lasciare impunito il vero colpevole (la persona giuridica) facendo
invece gravare tutto il peso della responsabilità sulle persone fisiche, che altro non sarebbero
che l'organo di una volontà altrui. Così von Liszt «consacrava la dottrina della responsabilità
delle persone giuridiche nel diritto penale moderno e per opera sua le società entrarono a far
parte del capitolo classico del soggetto attivo del delitto» (DE SIMONE, op.cit. p.62). Per un
approfondimento sulle teorie di von Litz e soprattutto sulle critiche, si veda Ibidem pp.61-64.
A proposito del reato come azione Cfr PIERGALLINNI, op.cit, p. 573 che afferma
criticamente come «il dogma societas delinquere non potest sarebbe la coerente derivazione
del dogma dell'azione, secondo il quale il destinatario del precetto può essere solo la persona
umana». Ancora, sul dogma dell'azione nel diritto penale non si può non citare la
fondamentale opera di G. MARINUCCI, Il reato come azione. Critica di un dogma, Milano,
1971, qui (p. 176) l'Autore osserva che l'esclusione della responsabilità penale delle persone
giuridiche non può fondarsi su «un precostituito “concetto d'azione”, estratto
surrettiziamente da un tipo storico di ordinamento che quel principio ancora non accoglie».
80
Il II Congresso internazionale di diritto penale, svoltosi a Bucarest nel 1929, segnò
indubbiamente una tappa importante nell'evoluzione del dibattito scientifico sul tema della
responsabilità delle persone giuridiche e fu una valida occasione di confronto tra scuole di
pensiero, soprattutto dell'Est e dell'Ovest Europeo. Anche se sembrò consolidarsi una
tendenza favorevole alla responsabilità penale delle persone giuridiche, sicuramente
agevolata dall'incremento della legislazione economica e sociale, le cui previsioni
sembravano avere come diretti interlocutori (e dunque potenziali trasgressori) appunto le
società commerciali, emerse una perdurante disparità di vedute sulla questione.
41
Tuttavia, si è sottolineato fin da subito che il “dogma” in questione
trovò la formulazione che oggi conosciamo solo tra il diciottesimo secolo e la
prima metà del secolo successivo, «avendo dominato nei sette secoli
precedenti l'opposta idea societas delinquere potest»81. Dunque, a parere di chi
scrive, di “dogma” non è tanto propriamente corretto parlare, avendo questo
brillato poco meno di due secoli, prima di essere rimesso in discussione a metà
del XIX secolo, dagli ordinamenti di common law.
La convinzione che il principio societas delinquere non potest faccia
parte del DNA dei sistemi giuridici di civil law rappresenta uno dei più
radicati miti giuridici della modernità82. Prima di mostrare come in Italia (e nel
resto d'Europa83) si sia arrivati al crollo del “dogma” dell'irresponsabilità
penale degli enti, si vuole qui accennare al modo in cui il mito sia tuttora
tenuto vivo dall'ordinamento tedesco.
L'approccio tedesco circa la questione in esame, è fondato sulla
Ordnungswidrigkeiten84 (da qui in poi: OWiG), quest'ultima da molti è ancora
ritenuta il punto di equilibrio ottimale tra le tradizionali categorie dogmatiche
81
Così MARINUCCI, op.cit., p. 446.
Così F. GANDINI, Brevi cenni sulla responsabilità delle persone giuridiche in Germania,
in riv. la resp. amm. soc. enti, n.4/2008, p.27, facendo espresso riferimento GROSSI,
Mitologie giuridiche della modernità, Milano, 2007.
83
La raccomandazione R(88) del comitato dei ministri del Consiglio d'Europa (pubblicata in
traduzione italiana a cura di MILITELLO, in Riv. trim. dir. pen. dell'econ., 1991, p.653)
invita esplicitamente gli Stati membri ad introdurre una responsabilità penale. Tuttavia, fu
inserita nella raccomandazione in questione la possibilità di prevedere anche forme non
penali di responsabilità delle persone giuridiche, proprio in considerazione delle riserve
formulate dalla delegazione tedesca (oltre che da quella greca) durante i negoziati. Oggi la
responsabilità penale degli enti è conosciuta anche dagli ordinamenti giuridici di Paesi, come
Francia e Svizzera, che per ragioni dogmatiche, erano sempre stati fedeli al societas
delinquere et puniri non potest.
84
M. ESPINOZA DE LOS MONTERROS DE LA PARRA, Criminal Liability of Legal
Entities in Germany, in A. FIORELLA (a cura di), Corporate Criminal Liability and
Compliance Programs, Vol. I, Jovene, 212, p.419, traduce questo termine come «the
infractions and the administrative offenses act (OWiG), that which the doctrine considers as
quasi-penal or para-penal law». Il modello dell'OWiG è lo stesso che è stato
successivamente recepito dall'ordinamento italiano con la legge n. 689 del 1981, tuttavia è
comparabile anche con il D.lgs. 231/2001 in quanto secondo tale legge vengono comminate
sanzioni amministrative agli enti (oltre che alle persone fisiche che materialmente
commettono il reato) non solo per illeciti amministrativi, ma anche per reati, entrambi però
punibili solo con sanzioni amministrative.
82
42
della dottrina penalistica dei sistemi di civil law e la necessità di prevedere
forme effettive ed appropriate di responsabilità degli enti. L'OwiG trova la sua
matrice ideologica nella dottrina del diritto penale amministrativo.
Nel 1999, il ministro della Giustizia tedesco, costituì una commissione
di esperti per esaminare la questione della responsabilità penale in capo agli
enti. Tale commissione, nel suo report finale rigettò l'introduzione di una
corporate criminal liability degli enti nell'ordinamento tedesco, affermando
come l'OWiG, in particolare il paragrafo 30, fosse già sufficiente per
combattere il corporate crime. In aggiunta, il parlamento tedesco sottolineò
l'inconciliabilità del concetto di responsabilità penale degli enti con quello di
colpevolezza individuale e con il principio nulla poena sine lege, in quanto le
sanzioni penali per gli enti avrebbero avuto anche pesanti conseguenze
negative su terzi innocenti, come gli azionisti (shareholders).
La dottrina europea, in seguito, ha evidenziato come «i tentativi
intrapresi dalla dottrina tedesca per stabilire un fondamento ontologico
dell'illecito previsto dall'OWiG e la conseguente actio finium regundorum
rispetto all'illecito penale, non hanno prodotto risultati apprezzabili»85, sembra
quindi che «il mito dell'OWiG»86, sia oggi decisamente ridimensionato.
Risulta evidente come anche la struttura dell'illecito oggetto della
norma in esame sia del tutto ispirata alla concezione tripartita del reato: il
primo paragrafo della OWiG definisce l'illecito amministrativo come fatto
antigiuridico e riprovevole che integra la fattispecie di una legge per la quale è
comminata una pena pecuniaria amministrativa (Geldbusse). La specificità
dell'OWiG sta nel suo sistema sanzionatorio, che persegue finalità preventive
e retributive, ma senza esprimere alcun rimprovero etico e morale e senza
avere finalità risarcitorie o reintegratrici in forma specifica dell'interesse
leso87.
85
GANDINI, op.cit, p.28.
Ibidem.
87
Nel codice penale tedesco (SfGB), al paragrafo 75, sono ammessi tra le pene per gli enti
anche la confisca e, come misura cautelare, il sequestro. A questo proposito, M.ESPINOZA,
86
43
Nonostante gli sforzi dell'ordinamento tedesco per arrivare ad una
chiara distinzione ontologica tra l'illecito penale e quello amministrativo,
sembra che oggi l'unico criterio per distinguere queste due tipologie di
responsabilità sia quello formale, ovvero il nomen juris della sanzione prevista
dall'OWiG, cioè la Gelbusse. In conclusione sono reati quelli che prevedono
una Geldstrafe, mentre sono illeciti amministrativi quelli che prevedono una
Geldbusse.
L'influsso della dottrina penalistica è evidente: l'illecito previsto
dall'OWiG è soggetto ai principi di riserva di legge, irretroattività in malam
partem, determinatezza della fattispecie e divieto di analogia; si applicano,
quindi, le garanzie, anche giurisdizionali proprie dell'ambito penale. Ancora,
come il reato, anche l'illecito amministrativo tedesco presuppone la
riprovevolezza dell'agente richiedendosi, quindi, l'imputabilità di quest'ultimo
(età maggiore di anni 14 e capacità di percepire l'illiceità della condotta e di
agire sulla base di tale percezione).
Il criterio di imputazione soggettivo è quello del dolo, salvi i fatti in cui
la legge commini espressamente una Gelbusse per un fatto colposo.
Nei paragrafi 9 e 30 dell'OWiG è illustrata la responsabilità vicaria
dell'ente per fatto commesso da una persona fisica oggi corrispondente al cd.
apicale nel nostro ordinamento (detta qui triggering person).
La responsabilità ex paragrafo 30 dell'OWiG (da leggersi in combinato disposto con
il paragrafo 9) utilizza un criterio di imputazione basato sul modello della
responsabilità vicaria per cui l'ente risulta responsabile per gli illeciti commessi da
uno dei suoi rappresentanti o amministratori (una persona-organo, che quindi si
identifichi con l'ente: un suo rappresentante, un amministratore, un dirigente) durante
lo svolgimento della sua attività professionale o per condotte illecite che hanno
causato o miravano a causare un vantaggio all'ente.
op.cit., p.420, sottolinea come «taking in consideration that confiscation and forfeiture
(Einziehung and Verfall) cannot be considered as penalties, criminal liability remains not
attributable to legal entities» e che gli enti «neverthless they can be sanctioned by
administrative law sanctioned by administrative law sanctions under the infractions and
administrative offenses Act (OWiG), that which the doctrine considers as quasi-penal or
para-penal law».
44
La responsabilità dell'ente è concorrente con la persona fisica che ha
realizzato l'illecito, ma non solidale. È da notare una evidente matrice ideologica del
principio di identificazione dell'organo con l'ente: lo stesso fatto illecito costituisce il
fondamento di due responsabilità quella della triggering person e quella dell'ente. La
responsabilità è concorrente, ma autonoma: la Geldbusse può essere irrogata all'ente
anche quando per l'illecito commesso dalla persona fisica non venga iniziato alcun
procedimento, questo sia archiviato e, ancora, quando non sia applicata alcuna
sanzione alla persona fisica durante il procedimento o questa sia deceduta (la regola
dell'autonomia subisce un'eccezione quando l'illecito commesso dalla persona fisica
non possa essere perseguito per ragioni di diritto, ovvero quando il reato o l'illecito
amministrativo è prescritto).
Attualmente si può affermare che la platea delle triggering persons è
sostanzialmente sovrapponibile a quella dei soggetti apicali previsti dall'art 5 comma
1 del d.lgs. 231/2001. Sono escluse però dalle triggering person coloro che di fatto
gestiscono gli affari dell'ente.
Bisogna dire che nella versione originaria del paragrafo 30 dell'OWiG, l'influsso
della classica concezione civilistica secondo la quale la persona giuridica agisce per
mezzo dei suoi organi o con essi di identifica, era molto più evidente. Il principio era
quello, molto rigido, della pura rappresentanza formale ovvero la responsabilità
dell'ente sorgeva soltanto se la condotta era stata posta in essere da un organo
dell'ente o comunque da un suo rappresentante legale legittimato ad agire in nome
dell'ente.
Leggendo ora il combinato disposto del paragrafo 30 con il 9, invece, si vede
come il principio di rappresentanza formale sia stato mitigato dal paragrafo 9.2, che
chiama l'ente ad essere responsabile anche per il fatto dei direttori e degli incaricati,
ossia di quei soggetti che si occupano della gestione di particolari affari sociali. A
condizione però che si tratti di doveri funzionali, ossia propri del titolare
dell'impresa.
Infine, in seguito ad alcune critiche (l'incarico dovrebbe comunque essere
conferito espressamente; le condotte degli intermediari e dei mediatori non sono
ricomprese) si è sganciata ulteriormente la responsabilità dell'ente dal tradizionale
criterio di rappresentanza introducendo i criteri concorrenti della gestione e del
controllo, oltre a quelli già previsti dal paragrafo 9.2 della direzione e dell'incarico.
Il criterio d'imputazione previsto dal paragrafo 30.1 è costituito dalla
commissione del reato o di un illecito amministrativo, attraverso il quale a) sono stati
violati obblighi che incombono in capo alla persona giuridica o alla associazione
ovvero b) la persona giuridica o l'associazione ha ricavato o avrebbe dovuto ricavare
un utile. Per “utile” si intende il vantaggio economico, anche indiretto, conseguito
dall'ente; esso può essere non solo attuale, ma anche solo potenziale, da accertare con
valutazione ex ante.
A differenza del modello italiano ex d.lgs. 231/2001 non è indispensabile che
la triggering person abbia agito nell'interesse o a vantaggio dell'ente, purchè la sua
condotta sia caratterizzata da un'oggettiva violazione dei doveri incombenti sull'ente.
L'illecito dell'ente, secondo l'OWiG, può assumere due forme: a) illecito formale, nel
caso di violazione dei doveri che incombono all'ente, qualora l'ente non abbia
conseguito alcun vantaggio, né esso fosse conseguibile ab initio b) illecito d'evento,
nel caso in cui la commissione del reato o illecito amministrativo abbia procurato
45
(illecito di danno), o avrebbe potuto procurare (illecito di pericolo) all'ente un
vantaggio.
Non si richiede che l'autore dell'illecito sia identificato personalmente, ma è
necessario dimostrare che un illecito penale o amministrativo è stato commesso e che
lo stesso sia imputabile ad una triggering person: questa dimostrazione può diventare
molto complessa nei casi in cui l'ente è dotato di organizzazioni dotate di processi di
decision-making multilivello.
Il paragrafo 130 dell'OwiG mostra come la responsabilità dell'ente
possa derivare anche dalla condotta illecita di un qualsiasi suo membro (non
per forza da un'apicale) e il fondamento di responsabilità risiederebbe nella
mancata adozione delle misure di sorveglianza necessarie per impedire la
commissione di reati o illeciti amministrativi da parte delle persone fisiche
adibite alla sorveglianza e al controllo.
Il paragrafo 130 prevede un ulteriore criterio di responsabilità dell'ente rispetto a
quello previsto dai paragrafi 9 e 30. Secondo questo ulteriore criterio, costituisce
illecito amministrativo il fatto del titolare di un'azienda che ometta dolosamente o
colposamente di adottare misure di sorveglianza che sono necessarie per impedire
nell'azienda la violazione di doveri che incombono al titolare, e che si sarebbero
potuti evitare attraverso la doverosa sorveglianza. Al titolare dell'impresa si
equiparano il suo rappresentante legale, i membri del'organo che rappresenta la
persona giuridica, i soci dotati del potere di rappresentanza, le persone incaricate di
dirigere l'azienda (manager) limitatamente ai doveri per il cui adempimento siano
responsabili.
Quindi, il paragrafo 130 estende la responsabilità degli enti anche a illeciti
commessi da persone diverse dalle triggering person dei paragrafi 9 e 30, ma non le
definisce in modo preciso, limitandosi ad un generico riferimento agli illeciti
commessi nell'ente.
Inoltre, a differenza che nel paragrafo 30, nel 130 non viene considerazione il
vantaggio ritratto o ritraibile dall'ente, ma solo la violazione di un dovere funzionale,
il dovere di sorveglianza e controllo, posto a carico di determinati organi dell'ente.
La responsabilità ex paragrafo 130, rispetto a quella ex paragrafi 9 e 30, resta
molto più ancorata al principio della rappresentanza formale e della direzione di
impresa, venendo qui in considerazione soltanto l'omissione imputabile a soggetti in
possesso di determinate qualifiche formali.
Anche nel paragrafo 130, le due responsabilità, dell'ente e della persona fisica
autrice materiale dell'illecito, sono concorrenti e si richiede che un reato o illecito
amministrativo sia commesso all'interno dell'azienda. Non è necessario, invece, a
differenza del d.lgs. 231/2001 italiano, che la triggering person abbia
fraudolentemente eluso le misure di sorveglianza. È sufficiente la mera commissione
del fatto. Per l'ascrizione di responsabilità occorre inoltre che l'illecito costituisca una
violazione dei doveri che incombono al titolare dell'impresa e à dell'evento illecito
46
attraverso le necessarie misure di sorveglianza invece non adottate. È sufficiente che
il titolare dell'impresa fosse a conoscenza dell'evitabilità dell'illecito tramite doverose
misure di sorveglianza e di controllo.
A differenza del modello previsto dal d.lgs. 231/2001, nell'OWiG non cerca
di definire in modo puntuale quali siano le misure di salvaguardia necessarie ad
impedire la commissione di illeciti e quale sia il modulo organizzativo entro cui
queste misure dovrebbero essere inserite. Inoltre nell'OWiG, il dovere di
supervisione è relativo alla sola prevenzione delle condotte inerenti ai doveri interni
all'impresa: sono quindi escluse le condotte relative a soggetti esterni, anche se legati
all'impresa da rapporti giuridici di sub-contratto. Tale principio, nel caso di un
gruppo di imprese esclude la responsabilità del management della capogruppo per le
condotte compiute nell'ambito delle altre società del gruppo. Quindi, il paragrafo
130, non imponendo un particolare predeterminato modulo organizzativo, determina
la sostanziale imprevedibilità ex ante da parte del management circa l'efficacia ai fini
della esclusione di responsabilità delle misure disposte effettivamente.
Si rileva l'analogia sostanziale tra le misure preventive ex paragrafo 130
dell'OWiG e i compliance programs. L'adozione delle misure preventive
infatti determinerà l'esclusione della responsabilità per l'ente. Tuttavia, tra le
misure preventive ex 130 e i compliance programs esiste una fondamentale
differenza. La mancata adozione delle misure previste dal paragrafo 130
dell'OWiG non è di per sé fonte di responsabilità dell'ente. È necessario infatti
un ulteriore criterio di imputazione di tipo soggettivo: la riprovevolezza. Solo
nel caso di dolo o di colpa della persona fisica che avrebbe dovuto provvedere
alle misure preventive la responsabilità deve essere ascritta all'ente. È evidente
un saldo ancoramento alla vecchia teoria dell'identificazione, tipica, come
vedremo, nella tradizione anglosassone: il dolo e la colpa dell'organo (una
persona fisica o più riconducibili all'ente) costituiscono anche il dolo o la
colpa dell'ente. L'imputazione della persona giuridica è ancora legata a doppio
filo a quella di una persona fisica e non esiste indipendentemente da questa.
Manca, quindi, una teorizzazione di una colpevolezza di impresa:
l'imputazione dell'illecito penale o reato all'ente, nel modello tedesco
47
dell'OWiG, non sembra riconducibile, come nel modello italiano, alla cd.
colpa di organizzazione88. Questo accade per almeno per tre motivazioni:
1) non sembra essere desumibile dai paragrafi 9, 30 e 130 un vero e
proprio dovere di auto-organizzazione dell'ente (ovvero di dotarsi di
modelli di organizzazione e gestione), che costituisce un presupposto
indispensabile per il configurarsi della colpa di organizzazione89;
2) i paragrafi 9, 30 e 130 sono ancora fortemente intrisi di responsabilità
dell'ente vicaria, concorrente con quella della persona fisica autrice
materiale
dell'illecito,
ispirata
al
principio
dell'identificazione
dell'organo con l'ente, piuttosto che verso un modello di una
responsabilità e quindi colpevolezza autonoma ed originaria dell'ente;
3) l'ascrizione
della
responsabilità
dell'ente
non
è
in
funzione
dell'organizzazione interna dell'ente, ma dello stato psicologico
88
Di questa opinione GANDINI, op.cit., p. 35; di autorevole e contrario avviso
TIEDMANN, La responsabilità delle persone giuridiche nel diritto comparato, in
Riv.it.dir.proc.pen., 1995, p.627.
89
Cfr. in particolare PALIERO, PIERGALLINI, La colpa in organizzazione, in La
responsabilità amministrativa delle società e degli enti, n.3/2016, p.167 in cui i due autori
sottolineano bene come l'obbligo di organizzazione sia un presupposto della colpa in
organizzazione; contra Cfr. M. ESPINOZA, op.cit., pp. 431 ss. Tale autore afferma come
nell'ordinamento tedesco ci sia comunque una compliance de facto e una self regulation
derivante da altri atti legislativi, diversi dall'OWiG: un dovere di implementare un sistema di
compliance scaturirebbbe da varie e diverse norme come il Company Act (AktG, paragrafo
91.2 e 93.2) o l'Act on limited liability companies (GmbHG, paragrafo 43.2) che fanno
derivare la responsabilità dell'ente da una mancata supervisione e prevenzione da parte della
persona fisica che era a queste preposta. Dunque «a system of compliance de facto as been
established. It is called 'de facto' because legal entities are not under a general obbligation
to implement a compliance system, as in U.S. or Italy, but German system itself requires the
implementation or risk management systems through provisions from different laws that
largerly fulfils the same functions». Inoltre, aggiunge l'A., il paragrafo 130 dell'OWiG,
sanzionando l'ente per il verificarsi di un illecito dovuto alla non osservanza dei doveri di
controllo e supervisione implicherebbe, de facto, una imposizione di un obbligo ad
implementare un sistema di compliance. Quindi l'implementazione dei compliance programs
in Germania deriverebbe dall'affermarsi de facto di una self-regulation «which is the
plurality of different types of the rules that motivate or require the legal entity to implement
systems of self-control and supervision. These system detect and avoid the systematic
commission of crimes and offence». Per queste ragioni, la compliance della Germania
risulterebbe, infine, molto meno severa e rigida di quella statunitense o degli altri paesi
europei.
Seguendo la tesi di M. ESPINOZA, chi scrive è indotto a pensare che basi per un
futura teorizzazione della colpevolezza di impresa anche in Germania, ci sarebbero, ma che
tuttavia esse non vogliano ancora cogliersi da parte dello stesso ordinamento tedesco.
48
soggettivo
della
persona
fisica
che
ha
commesso
l'illecito
amministrativo o il reato oppure della persona fisica che avrebbe
dovuto adottare le necessarie misure precauzionali. Tale elemento
psicologico
coincide
con
le
categorie
penali
classiche
della
colpevolezza: il dolo e la colpa. Sono il dolo e la colpa della persona
fisica che fondano la responsabilità dell'ente nell'OWiG, senza che sia
necessari muovere all'ente un ulteriore profilo di responsabilità90.
In conclusione i criteri di imputazione della responsabilità dell'ente, seppur, in
parte, affrancati dal principio di rappresentanza formale, non sembrano
compatibili con gli attuali assetti della corporate governance dei modelli
societari attuali, soprattutto con riguardo alle realtà più strutturate e complesse.
In particolare, quest'ultima osservazione vale soprattutto per il modello di
responsabilità ex paragrafo 130, che risulta ancora fortemente saldato sulla
violazione del dovere funzionale da parte dell'organo con poteri di
rappresentanza. Inoltre, il sistema sanzionatorio dell'OwiG è limitato alle
sanzioni amministrative pecuniaria (Geldbusse), senza alcuno spazio per
l'interdizione o forme di controllo giudiziale post-factum91. Inoltre, l'effettività
della responsabilità degli enti andrebbe assicurata anche per mezzo di Linee
Guida per l'esercizio dei poteri discrezionali, conseguenti al principio di
opportunità riguardo il perseguimento dell'illecito. L'OCSE ha infine ritenuto
la Gelbsusse troppo poco dissuasiva, suggerendo un aumento del suo
massimo.
90
Mentre per la responsabilità ex paragrafi 9 e 130 dell'OWiG il criterio di imputazione è
quello generale ovvero quello del dolo (salvi alcuni casi in cui la legge espressamente
commini la pena pecuniaria amministrativa per un fatto colposo), per la responsabilità
derivante dal paragrafo 130, l'omissione delle misure di prevenzione può essere dolosa o
colposa.
91
Tuttavia dal codice penale tedesco si ricavano altre misure applicabili quali la confisca e
come, misura cautelare, il sequestro. Inoltre secondo la legge a tutela della concorrenza
(Gesetz gegen Wettbewerbsbeschrankungen) un'altra possibile sanzione per gli enti sarebbe
l'esclusione dalla contrattazione con la pubblica amministrazione.
49
Nonostante questa presa di posizione in Germania, contraria alla
criminalizzazione degli enti, per gli operatori del diritto tedesco il dibattito
rimane ancora aperto92.
§2. CORPORATE CRIMINAL LIABILITY NEGLI ORDINAMENTI DI
COMMON
LAW:
IL
PRIMO
SUPERAMENTO
DEL
SOCIETAS
DELINQUERE NON POTEST IN ETÀ CONTEMPORANEA.
§2.1 CRITERI DI IMPUTAZIONE E PRIME SENTENZE NEL REGNO
UNITO
§2.1.1 Il primo criterio di imputazione vicaria della responsabilità penale degli
enti comune a Regno Unito e Stati Uniti §2.1.2 Verso una responsabilità
diretta, la dottrina inglese dell'alter ego o identification theory (ascesa e
critiche) A) Il caso Tesco B) Dalla tragedia di Zeebrugge al caso Meridian
§2.1.3 Alla ricerca di nuovi modelli di colpevolezza: la colpa di
organizzazione, ovvero il concetto di management failure nel il CMCHA del
2007 §2.1.4 Il Bribery Act del 2010 §2.1.5 Conclusioni.
Did you ever expected a corporation
to have a conscience,
when it has no soul to be damned and
no body to be kicked?93
92
«Nevertheless, for the German Doctrine this debate is far from being closed», M.
ESPINOZA, op.cit., p. 421.
93
Celebre dictum attribuito al giurista inglese Edward Thurlow (1731-1806), First Baron
Thurlow e Lord Chancellor of England (dal 1778 al 1792) citato, tra gli altri, anche da
J.C.COFFEE, Jr., No Soul to Damn, No body to Kick, An Unscandalized Inquiry into the
Problem of Corporate Punishment, 79 Mich. L. rev. 386, 1981 e A. ALISON, History of
Europe from the fall of Napoleon in MDCCCXV to the accession of Louis Napoleon in
MDCCCLII, vol. 1, 1852, p.56. La domanda venne retoricamente formulata nel corso di un
procedimento penale, dopo che un avvocato ebbe lamentato che la controparte, una società,
non aveva coscienza. Anche l'opinione del più importante giurista inglese del XVIII secolo,
W. BLACKSTONE (1723 - 1780) andava in questa direzione: «le pene sono inflitte per
l'abuso del libero arbitrio, che Dio ha donato all'uomo»; pertanto «una persona giuridica non
può commettere tradimento, o un crimine (felony) o un altro delitto (crime), secondo le sue
capacità: ancorché possano farlo i suoi membri, in base a loro distinte capacità individuali»,
50
§2.1.1 IL PRIMO CRITERIO DI IMPUTAZIONE VICARIA DELLA
RESPONSABILITÀ PENALE DEGLI ENTI COMUNE A REGNO UNITO
E STATI UNITI
Abbiamo
visto
come
con
l'età
moderna,
grazie
agli
ideali
individualistici del Settecento Illuminato e alla Scuola delle Pandette di
Savigny, il principio societas delinquere non potest si consolidò fortemente.
Per circa due secoli, tale “dogma” rimase indiscusso94, la prima rottura (prima
solo in relazione all'età contemporanea95) si ebbe nel Regno Unito con la
sentenza del 1842 Birminghman & Gloucester Railway Co.96
così W.BLACKSTONE, Commentaries on the Laws of England, IV, London, prima
edizione, 1765, p.27, p.464.
94
E questo non solo negli ordinamenti di civil law, ma anche in quelli di common law. In un
recentissimo articolo di autorevole dottrina si legge che «anche nei contesti normativi di
tradizione germanico-civilista (oltre che in quelli di common law, n.d.r.) il canone societas
delinquere non potest ha prevalso esclusivamente nell'arco di due secoli secoli circa, vale a
dire dal XIX al XX secolo: nei sette secoli precedenti aveva denominato l'opposta idea» così,
V. MONGILLO, Necessità e caso nell'allocazione della responsabilità da reato tra individui
ed enti collettivi considerazione alla luce dell' incontro tra società ferroviaria e giudice
penale nell'europa del XIX secolo, in Riv. it. dir. proc. pen., fasc. 3, 2014, p. 1294.
95
Come ha sapientemente osservato il Marinucci, sarebbe errato considerare Regno Unito e
Stati Uniti come pionieri assoluti del concetto di corporate criminal liability.
Significherebbe non tenere conto di interi secoli di storia precedente il consolidamento del
“dogma” in questione, ovvero almeno dell'epoca medioevale di canonisti e postglossatori che
si è discussa nel paragrafo precedente: « (...) si direbbe che i paesi anglosassoni siano il più
antico luogo d'origine della responsabilità penale delle universitas. A parte i luoghi comuni
di una diffusa dotta ignoranza, è quanto sembrano ritenere persino all'interno di quel mondo
osservatori reputati come Katleen F. Brickey». Infatti questa Autrice afferma che
«l'imposizione della responsabilità penale delle corporations appartiene quasi
esclusivamente alla commonlaw tradition» e il Marinucci sottolinea che «le cose non stanno
così. Quell’imposizione, al più presto, risale alla metà dell'800: parecchi secoli dopo la
tradizione dei paesi di civil law» così, G. MARINUCCI, La responsabilità delle persone
giuridiche uno schizzo storico-dogmatico, Riv. it. dir. proc. pen, fasc. 2-3, 2007, p.450. Si
tratta quindi di un “revival” e non di una novità assoluta nel panorama del diritto, così
MONGILLO, op.cit, p. 1293.
96
Come ricorda G. DE SIMONE, Persone giuridiche e responsabilità da reato. Profili
storici, dogmatici e comparatistici, ETS, Pisa, 2012, p.20: «la prima decisione in materia
dell'epoca moderna è stata pronunciata in Inghilterra (è la Birmingham and Gloucester Road
Railway Co. del 1842, n.d.r.) e scaturiva proprio dai danni creati dalla ferrovia, vero e
proprio emblema della modernità industriale». Anche la giurisprudenza degli Stati Uniti
seguirà questo iter, a partire dalla celebre pronuncia del 1909 New York Central & Hudson
River Railroad (per un approfondimento dello sviluppo della corporate criminal liability
negli Stati Uniti, si veda infra §2.2). In realtà è rinvenibile un lontano precedente nelle
colonie americane: la Corte Suprema del Massachusetts, nel 1852, si pronunciò in favore
51
Nel vecchio continente solamente nel 1998 il Consiglio d'Europa invitò
gli stati membri a considerare l'eventualità di un'introduzione97 della
responsabilità penale degli enti.98 Questo ritardo fu dovuto alla preponderanza,
almeno fino a quel periodo, della dogmatica sulle esigenze della politica
criminale99: in effetti vedremo come, particolarmente in Italia, il passaggio al
della responsabilità di una corporation, nel caso Commonwealth v. Proprietors of New
Bedford Bridge, 27 the Massachusetts Supreme Court, 68 Mass (2 Gray) 339 (1854).
97
In realtà, come si è visto, considerando il periodo medioevale di canonisti e postglossatori,
sarebbe più corretto parlare di una reintroduzione o, per citare MONGILLO, di un “revival”
(MONGILLO, op.cit. p.1293).
98
La prima raccomandazione ai membri dell'Unione ad opera del Consiglio, riguardante la
necessità di introdurre la responsabilità penale degli enti, risale al 1998, in essa si invitavano
gli Stati membri a modificare i loro codici penali per includere la responsabilità penale degli
enti. Vengono inoltre specificati quattro requisiti fondamentali del nuovo istituto tra cui lo
scope of employment, l'autonomia della responsabilità e la cumulatività con quella della
persona fisica, la defence per la corporation di aver adottato tutte le misure precauzionali
idonee ad evitare l'evento di reato: "In 1998 (...) The Council of Europe recommended that
members should consider changing their criminal codes to include corporate criminal
liability, and that they should attach four elements to their definition of the offence: 1)the
offender's act should be related to his or her employment 2) liability should attach even if the
person who committed the criminal act cannot be indentified 3) the enterprise can be
exonerated if "all necessary steps" had be taken to inhibit the behavior; and 4) corporate
criminal liability should be imposed in addition to individual criminal liability" (Si veda
G.GEIS alla voce Corporate Criminal Liability in L.M. SALINGER, Encyclopedia of white
collar & corporate crime, Vol I, Sage, 2005, p. 212). L'applicazione di questa direttiva in
Europa fu, tra l'altro, disomogenea: in Italia venne recepita solo con la legge delega n.300 del
2000, che fu attuata dal Decreto legislativo 8 giugno 2001, n. 231 (si veda infra il capitolo
II).
99
G.DE SIMONE, op.cit., p. 24, afferma come dopo l'introduzione nel code penal francese
del 1994 della responsabilità penale delle personnes morales «da allora in avanti, nel
vecchio Continente - inespugnabile roccaforte, un tempo, del societas delinquere non potest
- è stato un susseguirsi, frenetico e inarrestabile, di riforme legislative orientate nella
medesima direzione» e ancora l'A. sostiene che tale dogma «ha in effetti rappresentato una
componente essenziale della sua (dell'Europa, n.d.r.) cultura giuridica (...) ma per quanto
rispettabile, difficilmente potrebbe oggi resistere ai risoluti attacchi di una moderna politica
del diritto, (e infatti non ha resistito!). Sotto questo profilo, è dato anzi rilevare un
progressivo riavvicinamento tra i sistemi di common law e quelli di civil law».
Secondo DE SIMONE attualmente «sulle ragioni della dogmatica hanno finito con il
prevalere, ancora una volta, - e non poteva essere diversamente - quelle, pressanti e
ineludibili, della politica criminale (...) è difficile pensare, in effetti, che la dogmatica
penalistica possa sbarrare la strada ad una scelta politico-criminale di simile portata»,
Ibidem, p. 32. La teoria giuridica del reato soccombe davanti alla difficoltà di conciliarla con
la responsabilità criminale delle persone giuridiche, davanti alle esigenze di ordine pratico, il
punto di vista dogmatico passa in secondo piano. Questo perché «alla fin fine non è la
dogmatica, ma la volontà legislativa di regolamentare una situazione riconosciuta come
problematica a decidere l'ammissibilità di questa regolamentazione»; per semplificare la
questione si potrebbe dire che «la decisione pro o contro la capacità penale di persone
52
societas delinquere et puniri potest incontrerà molti ostacoli, soprattutto di
matrice costituzionale100.
Come si è visto nel paragrafo precedente, a partire dalla fine del XVIII
secolo si affermò in tutta Europa il modello antropocentrico di diritto penale in
coincidenza con lo sviluppo degli ideali individualistici illuministi della
rivoluzione francese e in concomitanza con il successo, sul piano della
dogmatica giuridica, della teoria finzionistica della persona giuridica di
Savigny, a supporto dell'irresponsabilità penale. Su questa «granitica
piattaforma individualistica»101 sono state edificate, a partire dall'Ottocento,
tutte le categorie essenziali del reato: dalla condotta all'elemento psicologico,
fino all'emersione, agli inizi del Novecento, del concetto normativo di
colpevolezza, intesa come rimproverabilità di uno specifico individuo per
l'atteggiamento antidoveroso della volontà.
Sul finire del XX secolo, dopo due secoli di indiscussa irresponsabilità
penale, assistiamo ad una ramificazione divergente tra ordinamenti di civil
law, che continuarono sulla strada del societas delinquere et puniri non potest
e ordinamenti di common law che invece scelsero, fin da quel momento, la via
della responsabilizzazione penale degli enti102. Cominciamo con l'analizzare la
giuridiche e associazioni viene a dipendere, in ultima analisi, dalla preferenza accordata alla
dogmatica o, rispettivamente alla pragmatica», Ibidem, pp. 32-33.
100
Ci riferiamo soprattutto all'articolo 27 della Costituzione Italiana, che stabilisce al primo
comma che «la responsabilità penale è personale». Esso viene ritenuto (da autorevole
dottrina come M. ROMANO, F. MANTOVANI e per certi versi A. ALESSANDRI) un
«ostacolo insormontabile» di ordine dogmatico alla responsabilità penale degli enti, un
«limite invalicabile». Oltre a questo principio della personalità, chiaramente in contrasto con
l'attribuire una responsabilità penale ad un essere inanimato come la persona giuridica, si
aggiunse la costituzionalizzazione del principio di colpevolezza con la celebre sentenza della
Corte Costituzionale n. 364 del 1988. Essa, insieme alla successiva pronuncia 1085/1988,
cristallizzò in costituzione la necessità dell'elemento psicologico (del dolo o della colpa,
quest'ultima, tuttavia, ormai nella sua accezione squisitamente normativa) creando un altro
fortissimo argomento a favore della dottrina dogmatica più conservatrice e ostile allo
“stravolgimento culturale” del diritto penale classico per opera dell'inserimento di una
responsabilità penale della persona giuridica, da sempre riferita alla sola persona fisica.
Ibidem, pp. 30-33. Circa gli schieramenti contrapposti della dottrina italiana, rispettivamente
pro e contra la responsabilità penale a carico degli enti si veda infra § 3.
101
L'espressione è di MONGILLO, op.cit., p. 1294.
102
In questo senso, MONGILLO, il quale parla di «moderna scissione tra le due famiglie
giuridiche di common law e civil law» in merito alla punibilità delle persone giuridiche, egli
53
strada iniziale scelta dai Paesi di common law, partendo dal primo criterio di
imputazione vicaria comune a Regno Unito e Stati Uniti, il respondeat
superior, per poi osservare come si è evoluto nei due Paesi e con quali
conseguenze in Italia.
Nell'ordinamento del Regno Unito non esiste una disciplina generale ed
astratta che regoli la responsabilità ex crimine della persona giuridica. Per
effetto di questa lacuna, lo standard per l'attribuzione della responsabilità varia
in funzione del tipo di reato (statute law o common law) e dei suoi elementi
costitutivi (strict liability o mens rea)103. In riferimento alla statute law ed in
particolare ai reati di cd. strict liability104 è stata elaborata dalle corti inglesi la
responsabilità vicaria.
afferma che le corti inglesi e italiane nel XIX secolo ruotarono attorno ai «due opposti
paradigmi della responsabilità del capo dell'impresa e della responsabilità della societas nel
suo insieme» e che «tale rigida dicotomia ha segnato la storia delle due famiglie giuridiche
per tutto il secolo successivo ed è stata superata solo di recente». L'A. afferma che soltanto
nell'ultimo ventennio «le due grandi famiglie giuridiche (...) hanno ripianato il solco che le
aveva tenute separate per due secoli circa», infatti mentre «a partire dalla metà
dell'Ottocento, i Paesi di common law (regno Unito e Stati Uniti in testa) si sono affrancati
da questa dottrina (societas puniri et delinquere non potest, n.d.r.)», i Paesi di tradizione
germanico-romanistica sono arrivati a questo passo solo recentemente, grazie a disposizioni
incentivanti europee, anche se per esempio la Germania (come si è visto in capitolo I, §1.5) è
restia a cedere alla responsabilità penale e confina la responsabilizzazione degli enti al diritto
amministrativo (come solo formalmente fa anche l'Italia). Così MONGILLO, op.cit., pp.
1291,1292.
103
Cfr. F. GANDINI, La responsabilità delle persone giuridiche nel Regno Unito, in La
responsabilità amministrativa delle società e degli enti, n.3, 2008, p.137.
104
Nella strict liability rientrano tutti quei reati che non richiedono, quanto all'elemento
soggettivo, intenzione, consapevolezza o negligenza, queste ipotesi di reato rientrano nella
statute law (altrimenti identificata con la locuzione regulatory offences). La responsabilità
vicaria riguardo ai reati di common law (che riguarda invece i c.d. serious offences o reati
stricto sensu) trova invece uno spazio assai limitato (Cfr. GANDINI, op. cit., p.138).
Coperte dalla vicarious liability, quindi, sono solo alcune ipotesi previste dagli
statuti o leggi inglesi (appunto i cd. statutory o regulatory offences). I regulatory offences
sono detti anche quasi-criminal offences e sono caratterizzati da un sistema di imputazione
estremamente semplificato, informato al criterio della strict liability (responsabilità
meramente oggettiva, o talvolta, semi-oggettiva, cioè a colpa presunta, sganciata
dall'elemento soggettivo psicologico e quindi di fatto una responsabilità per fatto altrui). In
questa categoria di reati prevale, sul piano dei soggetti legittimati al compimento della
condotta illecita, la tecnica di tipizzazione del reato proprio, essendo richiesto il possesso di
una determinata qualifica giuridica da parte dell'autore: detentore di una cosa, proprietario o
gestore di un terreno, esercente un'attività imprenditoriale, datore di lavoro, ecc. Per fare un
paragone con il diritto italiano, si possono assimilare i regulatory offences alle
contravvenzioni: essi infatti invece che preservare beni giuridici individuali o collettivi,
54
Quest'ultima costituisce la prima forma di responsabilità criminale delle
persone giuridiche nel Regno Unito. Fino alla prima metà del XIX secolo,
nonostante le esigenze di modernizzazione derivanti dalla rivoluzione
industriale, le corti inglesi erano contrarie a riconoscere una responsabilità
penale delle persone giuridiche, le obiezioni principali, come abbiamo visto
precedentemente per il resto d'Europa, furono la natura fittizia e non reale
della persona giuridica, l'impossibilità di ricondurre la mens rea ad un
soggetto diverso dalla persona fisica, l'incapacità della persona giuridica di
comparire personalmente nel giudizio e la difficoltà di trovare delle sanzioni
penali adeguate.
Per aggirare l'ostacolo ontologico secondo il quale gli enti
difetterebbero del coefficiente fisio-psichico necessario per realizzare un fatto
penalmente rilevante, gli ordinamenti di common law, primo tra tutti il Regno
Unito, pensarono di imputare normativamente l'actus reus e la mens rea della
persona fisica autrice del reato all'ente di appartenenza. Questa fu l'origine
della responsabilità vicaria, escogitata inizialmente in ambito privatistico per
estendere gli obblighi risarcitori al soggetto superiore ed economicamente più
capiente: il padrone o il dominus dell'affare.
Nel corso dell'Ottocento questa teoria detta anche respondeat superior
(letteralmente, dal latino, “che risponda il superiore”) «fu trapiantata dai
assicurano la regolarità e l'ordine nei comportamenti della vita quotidiana o nello
svolgimento delle attività economiche, prevenendo condotte solo astrattamente pericolose.
Sono esempi di regulatory offences rientranti nell'attuale legge inglese i reati in materia di
igiene di alimenti, salute e sicurezza dei lavoratori, gestione dei rifiuti, vendite al dettaglio,
protezione degli animali, previdenza, attività bancaria. Per una disamina analitica si veda il
recente documento della Law Commission, Criminal liability in regulatory context: a
consultation
paper,
n.195,
2010
(reperibile
anche
online
qui
http://lawcommission.justice.gov.uk/docs/cp195_Criminal_Liability_consultation.pdf).
Successivamente, un periodo di interventismo legislativo ampliò notevolmente il numero dei
reati (offences) per cui anche gli enti potevano essere ritenuti responsabili. Tuttavia, «si
trattava sempre di fattispecie di scarsa pericolosità sociale, portatrici di un modesto disvalore
sociale del fatto (o almeno così al tempo percepiti), azionabili attraverso procedimenti (sì
penali, ma) ampiamente semplificati, punibili solo con pene pecuniarie, e molte delle quali
nell'ordinamento italiano rientrerebbero negli illeciti amministrativi o nell'ambito delle
contravvenzioni penali». Così, D. PELLOSO, La responsabilità penale degli enti nel sistema
giuridico inglese: ostacoli iniziali e responsabilità vicaria, in www.rivista231.it.
55
giudici
angloamericani
nel
diritto
penale
corporativo»105.
Questo,
naturalmente, per la mentalità dell'interprete educato alla tradizione giuridica
continentale, entrava invece in forte contrasto con il divieto di responsabilità
per fatto altrui106. Si trattava, infatti, sostanzialmente di una responsabilità
vicaria (indiretta), oggettiva (c.d. strict liability) e quindi sostanzialmente per
fatto altrui.
Definiamo, quindi, la responsabilità vicaria come la trasposizione in
ambito penale del principio civilistico del cd. respondeat superior, elaborato
appunto nell'ambito della tort law (responsabilità civilistica extracontrattuale).
Si tratta di una teoria di origine medioevale che regolava i rapporti tra padrone
e servo attribuendo al primo la responsabilità degli illeciti commessi dal
secondo. Più in generale, questa teoria consente che un soggetto in posizione
gerarchica superiore possa essere chiamato a rispondere alla persona giuridica
dei reati commessi dell'operato altrui a prescindere dalla sua effettiva
partecipazione al fatto commesso dal subordinato. Essa, che resta comunque
una responsabilità per fatto altrui, consente l'attribuzione alla persona giuridica
dei reati commessi da tutti i suoi employee and agents107.
105
Così, MONGILLO, op. cit., p.1294
MONGILLO nota come «nel divenire storico delle risposte date, nei vari ordinamenti,
alla quaestio della punibilità delle persone giuridiche, un ruolo non marginale ha svolto
anche l'elaborazione giurisprudenziale», che secondo l'A. è «una dimensione di giuridicità
poco perlustrata nelle ricerche storiografiche sui rapporti tra diritto penale ed enti collettivi»
e che «proprio per questo motivo è utile ripercorrere i momenti più salienti della
giurisprudenza penale ottocentesca» in particolare di Italia e Regno Unito. Così Ibidem, p.
1292.
107
La vicarious liability è «un criterio di attribuzione mutuato dal diritto civile, come detto,
sviluppatosi ancora in età medievale per far ricadere sul padrone la responsabilità degli
illeciti commessi dal servo (che, non è necessario precisare, era generalmente assai meno
solvibile del primo). (...) questo è uno dei due criteri su cui oggi si fonda la responsabilità
penale degli enti in Inghilterra» Così PELLOSO, op.cit. In Inghilterra quindi «prima del
1944, i casi nei quali era stata sancita la responsabilità penale degli enti societari erano
principalmente basati sul concetto di responsabilità oggettiva (vicarious liability), per cui gli
atti del dipendente potevano essere attribuiti al datore di lavoro, ma rimanevano pur sempre
atti del dipendente e ciò anche con riferimento ai reati stricto sensu. Il riferimento alla
responsabilità vicaria era il modo principale per attribuire la responsabilità agli enti, nei casi
in cui le Corti decidevano che coloro che gestivano la società potevano essere pensati come
soggetti incorporanti la società stessa» così P. DE GIOIA-CARABELLESE, A.I. SAVINI,
La 231 nel Regno Unito: riflessioni comparatistiche in merito al cd. omicidio societario
106
56
È necessario fin da ora tenere presente il tallone di Achille di questa
costruzione dottrinale: la sua applicazione non può aversi in relazioni a reati in
cui occorra mens rea e dunque ai cd. serious offences108. Inoltre, la
responsabilità vicaria è una responsabilità per fatto altrui (destinata, come
vedremo, ad essere superata in favore di una vera e propria colpevolezza in
capo all'ente), deroga, quindi, al principio di personalità del diritto penale109.
(corporate manslaughter) e al Corporate Manslaughter and Corporate Homicide Act 2007,
in La responsabilità amministrativa delle società e degli enti., n.3, 2011, p. 116.
Si evidenzia fin da ora come la giurisprudenza inglese si sia preoccupata, fin da
subito, di fissare i requisiti di questo criterio d'imputazione. In primo luogo ha invocato il cd.
delegation principle, in base al quale un soggetto è responsabile degli atti commessi da un
altro, qualora gli abbia delegato la realizzazione di doveri che lo statuto invece impone a lui
di realizzare. Il secondo principio (cd. extended costruction) si applica in molte statutory
offences ove nella descrizione dell'actus reus vengano impiegati concetti quali “usare”,
“causare”, “possedere”, “vendere”, “permettere”. In queste situazioni la responsabilità
colpisce il datore di lavoro per la sua posizione e indipendentemente dalla prova della sua
partecipazione materiale al fatto realizzato dal subordinato. Si tratta perciò di una fictio.
108
Abbiamo detto che il principio del respondeat superior, radicato nel diritto civile, è stato
esteso anche all'ambito penalistico, ma non all'intero diritto penale. Restano coperte dalla
vicarious liability soltanto alcune ipotesi previste dagli statuti (statutory offences), così DE
MAGLIE, op. cit., p. 147. Osserva, ancora, PELLOSO, op.cit., come «il principio della
vicarious liability copre infatti solo ipotesi di strict liability, costruite in modo meramente
materiale e non sorrette da mens rea. Una caratteristica, quest'ultima, che resterà sempre
intimamente legata alla natura vicaria della responsabilità, tanto da spingere le Corti a dover
successivamente cercare di delineare un nuovo e diverso criterio di attribuzione della
responsabilità per quei reati la cui costruzione rendesse necessaria la prova dell'elemento
psicologico». Il criterio di imputazione successivo a cui si fa riferimento è quello
dell'identification theory o alter ego dottrine che verrà inaugurato dal caso Tesco
Supermarkets Ltd v Nattrass (1972), AC 153 ed ampliato dal successivo caso Meridian
Global Funds Management Asia Ltd. v. Securities Commission, (1995), WLR 413.
109
Questa deroga è giustificata dalle Corti sostenendo che solo in questo modo si poteva
ottenere un incentivo a far rispettare la legge da parte degli employers, solo in questo modo
essi potevano essere incoraggiati a prevenire violazioni della legge da parte dei loro
dipendenti: «english courts believe that the best way to make such a legislation effective is
imposing a responsibility for offences committed by employees on the employer, who will be
then encouraged to prevent them from committing violations of law» e ancora «this is the
best way to encourage the respect for the law» M.T.TRAPASSO, Corporate criminal
liability in the United Kingdom, in A. FIORELLA, Corporate Criminal Liability and
compliance programs, Vol. I, Jovene 2012, p. 248. Nello stesso senso, Cfr. G.S.GREEN alla
voce Respondeat Superior in L.M. SALINGER, op.cit., Vol II, p. 687 «as in case of
respondeat superior, strict liability is supposed to act as deterrent to a claim of nonresponsibility for the offense, and it precludes corporate executives from purposely
insulating themselves from knowledge of their employees' activities. The second major
justification for strict liability is that it simplifies the prosecution of offenses because intent,
which is potentially a very complex issue associated with behavior occurring within larger
organizations, does not have to be proved. An organization is expected to know about
wrongdoing within its ranks (...)».
57
In relazione alle fondamenta legislative su cui il concetto di
responsabilità vicaria si è sviluppato, la prima pietra su cui si fonda la
responsabilità penale degli enti, nel sistema inglese, coincide con il Criminal
Law Act 1827. In questo statute, infatti, (precisamente nella sua section 14) il
Parlamento stabilì che nella legislazione penale il termine “person” dovesse
ritenersi comprensivo anche delle persone giuridiche a meno che non fosse
esplicita l'intenzione contraria del legislatore, o che ciò fosse incompatibile
con la costruzione del testo normativo110. Ad oggi, esiste un'unica disposizione
di portata generale prevista, per i soli reati di statute law, dall'Interpretation
Act del 1978111, tale norma sostituisce la section 14 del Criminal law Act e
prevede che sia le incorporated che le unincorporated legal persons sono
suscettibili di rispondere dei reati previsti dalla statute law. Solo le prime
invece possono rispondere dei reati previsti dalla common law112.
Tuttavia queste giustificazioni appaiono deboli: critics underlined that in a case of
strict liability offence consisting in failure to perform a duty imposed on an employer, there
is no need for turning the criterion of vicarious liability, since he is directly charged with
being an offender, Ibidem, p. 249 e si aggiunge «it is not proved that a recourse to vicarious
liability is the best way to ensure the respect the law. It's also not proved that a recourse to it
would be more acceptable if it was generallly limited to negligent employers who did not
prevent their employees from breaking the law». Riguardo al rischio di inefficacia rispetto
alla responsabilità del delegante, la dottrina ha sottolineato che «the most obvious answer
would be a direct modification of the law and not that to legitimate recurring to vicarious
liability» Ibidem, p 250.
110
Il testo di legge recita «yet the statute shall be understood to include (…) body corporates
as well as individuals, unless it be otherwise specially provided, or there be something in the
subject or context repugnant to such construction». È improbabile che il Parlamento nel
redigere tale norma avesse specificamente la precisa intenzione di sottoporre gli enti al
diritto penale, inoltre l'asserzione dell'inclusione delle corporations nel termine person
poteva già al tempo considerarsi un principio comunemente accettato dalla common law.
Tuttavia è proprio da questo momento che iniziano i procedimenti contro gli enti, e se la
disposizione in parola non ebbe quindi un fondamentale ruolo normativo, si può comunque
ritenere che fosse sintomo di una tendenza e di un pensiero che si stavano sviluppando nella
prima metà del diciannovesimo secolo. Cfr. PELLOSO, op.cit.; circa l'Interpretation Act, si
veda anche GANDINI, op.cit., p.137 e MARINUCCI, op.cit., p.451.
111
L'Interpretation Act fu varato nel 1889, poi modificato nella versione attuale del 1978.
112
Interessante notare che al paragrafo 5 di tale norma si prevede che, in mancanza di altra
previsione, la parola “person” in uno statuto o in altra legislazione subordinata, debba essere
intesa nel senso di ricomprendere a anche «a body of persons corporate or unincorporate».
Per quanto concerne il concetto di legal person, secondo il Company Act del 1985, sono
previste sei categorie generali di persone giuridiche incorporated: la public e private
company limited by shared; la public e private company limited by guarantee having a share
58
Oltre al Criminal Law Act e al successivo Interpretation Act un altro evento
giuridico assume valore ai fini della corporate criminal liability: si tratta
dell'attribuzione della legal personality alle società di capitali, con cui queste
iniziarono ad essere considerate come entità giuridiche autonome e separate
dai rispettivi membri. Questa decisione ha precorso quella contigua della
limitazione di responsabilità del socio all'investimento effettuato (limited
liability).
A metà dell'Ottocento, il consolidamento del societas delinquere non
potest era ormai al suo apogeo, sia negli ordinamenti di civil che in quelli di
common law113, ma ecco che con la sentenza Birmingham del 1842 cominciò
ad affermarsi nella giurisprudenza di common law il principio della vicarious
liability. Per la prima volta venne riconosciuta la responsabilità in capo alla
persona giuridica, anche se di tipo omissivo: la compagnia, come altre
municipalities (esercenti un pubblico servizio) era stata istituita con un
apposito statute (un private Act of Parliament), questo aveva imposto alcuni
doveri a suo carico a favore della collettività, come la riparazione di strade o la
costruzione di ponti per connettere le aree separate dalla ferrovia. Il fatto
contestato fu proprio un'omissione (nonfeasance), ovvero l'inadempimento di
specifici obblighi (più precisamente una nuisance offence): non aver
adempiuto ad un provvedimento giudiziario che imponeva alla società, sulla
base delle disposizioni contenute nello statute attributivo della personalità
capital; la limited liability partnership (LLP) e l'european economic interest grouping. Le
unincorporated person si risolvono sostanzialmente nel trust e nella partnership.
113
«Nel mezzo del XIX secolo il corso della storia giuridica sembrava universalmente
avviato verso il definitivo consolidamento del dogma societas delinquere non potest. Da
qualche secolo l'impossibilità di punire le persone giuridiche costituiva una certezza
assiomatica anche nel diritto inglese», MONGILLO, op. cit., p.1294. A questo proposito l'A.
cita la dottrina inglese dell'epoca, come il Chief Justice Edward Coke (1552-1634) che
«coniò una definizione a lungo presa per buona (..): la corporation che consta di più persone
è invisibile, immortale e poggia solo sull'interpretazione e considerazione del diritto. Essa
non può commettere tradimento, né essere bandita o scomunicata, giacché non ha un'anima,
né può comparire di persona, ma solo attraverso procuratore». Successivamente in un
anonimo caso del 1701, Lord Chief Justice Holt (1642-1710) affermò che: «una corporation
non è incriminabile, ma i suoi singoli membri sì».
59
giuridica, di «costruire alcuni ponti per collegare terreni che erano stati tagliati
dalla ferrovia»114.
Qualche anno dopo, nel 1844, nella sentenza Great North of England
Railway Co. la corporation venne condannata per un comportamento
commissivo115.
114
The Queen v. The Birminghman & Gloucester Railway Company (1842), in 3 Queen's
Bench Reports, p. 223. In questo caso Lord Dennam, Chief Justice of England sostenne che
«il solo rimedio per impedire che una corporation eserciti il suo potere in modo delittuoso, a
fini di lucro, consiste nel perseguire penalmente chi ha realmente commesso il delitto, e cioè
la corporation, che agisca con decisione a maggioranza». Il giudice Pattenson decise che «a
corporation may be indicted for breach of duty imposed upon it by law»: non vi era infatti
altro modo di far rispettare la legge se non perseguendola penalmente; si noti qui il
pragmatismo tipico del diritto penale di common law in materia di corporate criminal
liability; Cfr. MARINUCCI, op.cit., pp. 450-451. e K.F. BRICKEY, Corporate criminal
accountability, vol.1, seconda edizione, Deerfield, 1993, p. 401 e ss. che sottolinea come la
punibilità per le public nuisance offences (omesso adempimento di doveri giuridici) era già
stata sancita dalla giurisprudenza inglese già dalla prima metà del Settecento, nei confronti
dei Comuni (municipal bodies). Questi però non erano concepiti come vere e proprie
corporation, cioè soggetti dotati di un'autonoma personalità giuridica. Già dai tempi di
Enrico III (re di Inghilterra dal 1216 al 1272) furono frequenti i casi di città afflitte da pene
pecuniarie per non aver costruito strade, ponti, ospizi, scuole, o per non aver catturato un
criminale. Ancora, agli inizi dell'Ottocento si registrano procedimenti penali contro una city:
nel 1802 si cercò di incriminare la città di Liverpool per la mancata riparazione di una strada,
mentre nel 1811 a subire un indictment fu la città di Straford-on-Avon, accusata dell'omessa
riparazione dello Stratford Bridge. Fu quindi facile ed automatico estendere, qualche
decennio dopo, gli stessi schemi giuridici a delle vere e proprie corporation, come le società
commerciali, dal momento in cui venivano gravate anche di doveri analoghe a quelli tipici
delle amministrazioni comunali. Così MONGILLO, op.cit., p. 1295.
115
The Queen v. Great North of England Railway Company (1846), in 9 Queen's Bench
Reports, p. 315. Qui, invece, il fatto commissivo in questione (misfeasance) era l'aver
ostruito una strada con materiale da costruzione durante i lavori di ristrutturazione di una
ferrovia (Cfr. D'ACRI, op. cit., p.25). In particolare, la compagnia aveva, con i binari,
tagliato una strada, cospargendola di detriti, in questo modo erano state disattese alcune
prescrizioni dell'incorporation statute.
Lord Denman (uno dei più autorevoli giudici, Chief Justice of England del Queen's
Bench del diciannovesimo secolo, in questo caso anche redattore dell'opinione della Corte)
affermò innanzitutto che «the tendency of modern decisions has been to make corporations
civilly as well as criminally amenable like individuals». Chiarì inoltre che gli atti compiuti
dai dipendenti della compagnia non potevano che essere attribuiti in ultima analisi alla
compagnia stessa, secondo il criterio respondeat superior già in uso nella law of torts.
Le prime pronunce, quindi, riguardarono soprattutto azioni omissive (come il caso
Birmingham). PELLOSO, op.cit, p. 2, riporta le parole di GOBERT: «because of the actus
reus of these mostly nuisance offences consisted of an omission on the part of the
municipality, the courts did not have to address the issue of how a legal fiction might
perform a positive act. And because liability was strict there being no mental element to
satisfy, the issue of where to locate the municipality's mind did not arise». Tali azioni
omissive in origine furono esclusivamente public nuisance (pubbliche molestie), poi si
allargò la responsabilità anche ai nonfeasance (non aver ottemperato ad un obbligo imposto
60
Dalla vicenda della società ferroviaria Birmingham & Gloucester,
emerse chiaramente che «la responsabilità penale delle persone giuridiche
made in UK costituì, in origine, un prodotto spontaneo dei tribunali,
analogamente a molte fattispecie incriminatrici di common law, appartenenti al
nucleo del diritto penale (si pensi al più classico dei crimini: l'omicidio murder/manslaughter)»; quel che si vuole qui sottolineare è come la
responsabilità penale degli enti fu una «risposta pragmatica ai disturbi sociali
provocati dall'attività delle nuove società commerciali» e che «la
responsabilità
penale
delle
persone
giuridiche
fu
una
creazione
dall'autorità) ed infine ai misfeasance (non aver ottemperato all'obbligo in maniera
soddisfacente).
Il caso in esame è interessante per il particolare input della decisione, ovvero la
difficoltà di distinguere concretamente tra condotte attive e condotte omissive. si veda
letteralmente il testo della sentenza: «Se A è autorizzato a costruire un ponte provvisto di
parapetti, ma lo costruisce senza di essi, il reato consiste nella costruzione di un ponte privo
dei necessari presidi di sicurezza, o nel non averlo reso sicuro?». Lord Denman voleva far
riflettere su quanto fosse aleatorio, complesso e quindi discrezionale decidere se il reato
fosse omissivo e quindi attribuibile anche ad una corporation senza problemi, oppure no. Il
giudice rilevò la palese incongruenza di trattare in modo differenziato condotte omissive (es.
mancata riparazione di un ponte) e commissive (es. costruire una strada), di significato
offensivo del tutto analogo: «Perché mai una persona giuridica dovrebbe rispondere di un
tipo di reato e non anche dell'altro? (...) Bisogna condannare un individuo o un ente sia
quando erigono un ostacolo sulla pubblica via, sia quando non riparano le strade; e la pena
pecuniaria deve colpirli sia per le azioni che per le omissioni». Lord Denman aggiunse che
l'applicazione della pena solo verso gli autori individuali, di solito di basso livello
gerarchico, non avrebbe avuto alcuna capacità deterrente.
Il caso Great North of England Railway Company, tuttavia, ancora non si inoltrava
nella questione dell'elemento psicologico dell'ente, sebbene lo stesso Lord Denman si chiese
(implicitamente, forse, negandolo) se un ente potesse essere condannato penalmente per reati
che implicavano una certa rimproverabilità morale, in quanto questi derivavano «their
character from the corrupted mind of the person committing them». La problematica restò
aperta ancora per diversi decenni: fino al 1944 rimase dubbio se le corporations potessero
essere incriminate anche per reati che necessitavano mens rea, dopo il 1944 si rispose
affermativamente alla questione con un trio di pronunce che si vedranno a breve.
Per approfondire lo studio delle prime pronunce giurisprudenziali anglosassoni si
vedano anche gli articoli finora citati di MARINUCCI (2007), MONGILLO (2014),
GANDINI (2008) e PELLOSO (2009). Come monografia, una trattazione esaustiva
dell'ordinamento inglese è fornita da LOTTINI, La responsabilità penale delle persone
giuridiche nel
diritto inglese, Milano, 2005; altra monografia comparatistica su vari
ordinamenti è DE MAGLIE, op.cit, 2002. Per la dottrina straniera relativamente al Regno
Unito si vedano C.WELLS, Corporation and criminal responsibility, Oxford, 2001; J.
GOBERT, M.PUNCH, Rethinking corporate crime, London, 2003; L.LEIGH, The criminal
liability of corporation in English law, London, 1969; J. GOBERT, Corporate criminal
liability - What is it? How does it work in the UK?, in A. FIORELLA e A.M. STILE (a cura
di), Corporate criminal liability and compliance programs - First Colloquium, Napoli, 2012.
61
giurisprudenziale, avvenuta più o meno in modo fortuito, e in assenza di una
politica esplicitamente formulata»116.
La formula del respondeat superior, prevede la presenza di tre elementi
contestuali: a) il dipendente (agent) che commette il fatto illecito, b) mentre
agisce per conto dell'azienda nell'esercizio del mandato da essa conferitogli
(scope of employment) c) con l'intent di arrecare un benefit alla corporation.
Ci si domanda se l'agent debba appartenere alla cerchia dei vertici
oppure il reato possa essere realizzato da un quivis, un semplice dipendente,
anche estraneo ai meccanismi decisionali e agli obiettivi della corporation. Si
è optato per l'interpretazione restrittiva nella minoranza dei casi (che sono
anche i più datati), un esempio è United States v. Empire Packing Co. (1949),
dove la corporation viene incriminata solo perché l'agent era un apicale. Più
recentemente, le Corti di common law prediligono l'interpretazione estensiva:
non solo i vertici, ma anche tutto il personale della persona giuridica a
qualsiasi livello gerarchico rappresenta l'impresa e ogni suo comportamento si
riverbera su essa. La persona giuridica risponde sempre, anche se il reato è
commesso da subordinati dipendenti di basso grado in gerarchia. La ratio va
ricercata nei meccanismi della delega: poiché se la corporation può agire solo
per mezzo dei suoi rappresentanti, allora anche la commissione di un delitto da
parte di un impiegato di basso grado, non esclude la responsabilità penale
dell'impresa, «a meno che non si voglia ingiustificatamente proteggere e
immunizzare chi magari riceve il reale ed autentico vantaggio»117.
116
Così MONGILLO, op.cit, p. 1296, che a sua volta cita J.R. SPENCER, L'homicide
involontaire et la responsabilité des personnes morales et de leurs dirigeants: le mouvement
pour la reforme en droit anglais, in Le droit pénal à l'aube du troisième millènaire:
mélanges offerts à Jean Pradel, Paris, 2006, p. 926 e ss.
117
Un caso esemplare in tal senso è Steere Tank Lines, Inc. v. United States (1963) che
sottolinea come «la persona giuridica imputata (...) agisca, ragioni, scelga, (...) attraverso i
suoi dirigenti rappresentanti, nonché tramite gli impiegati posti anche a livelli inferiori della
scala gerarchica», riportato in DE MAGLIE, op. cit., p. 16 e ss e allo stesso modo, D'ACRI
pp. 60-61.
62
Anche il concetto di scope of employment, viene interpretato
estensivamente, ma fino a svuotarne quasi il senso, riducendolo ad un
simulacro più che ad un vero limite all'imputazione, tanto che «l'inconsistenza
e la nebulosità del requisito hanno, come effetto prevedibile, quello di indurre
la prassi odierna a non darne rilevanza», si registra «la pochezza
impressionante» dell'analisi di questo elemento e si finisce per concludere che
questo significhi «poco più del fatto che il reato si è realizzato mentre il
soggetto stava svolgendo un'attività collegabile con il lavoro affidatogli dalla
persona giuridica»118. Il punto che ha fatto più discutere è il superamento
anche degli ultimi baluardi del principio di tassatività, affermandosi la
responsabilità penale della persona giuridica anche quando «la condotta degli
agenti si rivela in contrasto con le istruzioni date dall'impresa e con le linee di
politica aziendale»119.
Riguardo il concetto di intent to benefit the corporation, la dottrina
evidenzia come sia trascurato, se non ignorato dalla giurisprudenza120. Dalle
118
Così DE MAGLIE, op. cit., p. 21.
Il leading case in questo senso è United States v. Hilton Hotel Corp. (1972), in cui, anche
se le condotte criminose tenute dagli agenti dell'Hilton Corp. erano in palese contrasto con la
politica aziendale, si arrivò ad una condanna della corporation, basandola su una rivoluzione
del precedente concetto di scope of employment: rientrerebbero in esso tutte le attività in
generale riconducibili all'azienda, tra cui non più solo gli atti autorizzati dall'ente, ma anche
quelli che incarnavano una palese violazione delle direttive e delle policy aziendali. Si
superò, quindi, la più ragionevole e restrittiva interpretazione iniziale, per cui la condotta del
rappresentante sarebbe riconducibile allo scope of employment solo qualora sia autorizzata
dai dirigenti dell'impresa, anche implicitamente. La Corte cominciò a demolire questo limite,
sostenendo una definizione lata del requisito in questione, in modo che potesse includere
qualsiasi condotta realizzata per conto della persona giuridica, che esprimesse la linea
generale di lavoro svolto dai suoi rappresentanti (seppur non autorizzata), fino ad arrivare
all'estensione di cui al caso Hilton. Così, Ibidem, p.19, 20.
A confermare il passaggio dall'interpretazione restrittiva che prevede l'autorizzazione
e quella estensiva che la esclude United States v. American Radiator & Standard Sanitary
Corp. (1970): «in order for a corporation to be responsible for acts or statements of one of
its agent is not necessary that corporation specifically authorize the agent to commit the act
or make the statement" si aggiunge infatti che è sufficiente anche un apparent authority: «A
corporation is legally bound by the acts and the statements of its agents done or made within
the scope of employment or their apparent authority» e si precisa che «apparent autority is
the authority which outsiders could reasonably assume that the agent would have, judging
from his position with the company, the responsibilities previously entrusted to him, and
circumstances surrounding his past conduct».
120
Sul punto Ibidem, p. 21, nota n. 47.
119
63
poche sentenze che trattano questo punto, tuttavia, si evincono alcuni punti
fermi: 1) l'agent può avere un motivo misto, ovvero non è necessario che
agisca esclusivamente allo scopo di arrecare un profitto all'impresa 2) non è
necessario che il beneficio desiderato si traduca necessariamente in un
vantaggio concreto. Usando i termini della giurisprudenza italiana diremmo
che qui non è necessario un vantaggio, ma un semplice interesse ad arrecarlo,
poiché il vantaggio è apprezzabile oggettivamente e solo ex post, mentre
l'interesse è soggettivo e può ben valutarsi ex ante, cioè prima della condotta
illecita121 3) la presenza di un codice etico e di un'autoregolamentazione
interna può essere considerata un indizio del fatto che il dipendente ha agito
con intent to benefit the corporation e in the scope of his employment 4) il
punto più delicato è quello per cui l'agent agisca nello scope of his
employment, ma allo scopo di danneggiare la corporation e non con
l'intenzione di arrecarle beneficio (arrecandolo invece a terzi interessati)122.
Interessante è notare come J. Moore analizza il legame tra il benefit
oggetto dell'intent dell'agente e la caratteristica (a cui dà un'accezione
negativa) di overinclusiveness del respondeat superior usato per attribuire la
condotta e la mens rea dell'agent (e solo la sua, non considerando quella degli
altri corporate agents) alla persona giuridica: tale caratteristica è problematica
quando l'actus reus risulti non essere stato incoraggiato dalla corporation in
alcun modo e, per di più, non necessariamente sia stato compiuto nel suo
interesse. In questi casi la corporation è più una vittima che un culpable agent,
in quanto il benefit viene a mancare. Il problema è che il criterio del
respondeat superior non permette di distinguere quando il reato è compiuto
121
Si veda infra §1.3 per la dottrina italiana.
La questione è ben affrontata nel caso Standard Oil Co. v. United States, in cui si nega la
responsabilità penale delle corporations coinvolte «perchè è stato ampiamente dimostrato
che gli atti degli impiegati non sono stati vantaggiosi, bensì assolutamente rovinosi per le
aziende, (...) imputare questi comportamenti alle imprese vorrebbe dire disattendere la regola
del respondeat superior. (...). La consapevolezza della persona giuridica non può derivare e
formarsi dall'attività di impiegati infedeli, le cui azioni sono state poste in essere per
realizzare gli interessi di soggetti diversi dalla persona giuridica, presso cui erano
dipendenti». Ibidem, p. 21 e ss.
122
64
con l'appoggio e il suggerimento della corporation (attraverso policy o
procedure) e quando invece è commesso da un «rogue agent whose acts
violated the company policy could not have been prevented by careful
supervision». 123
Il requisito dell'intent to benefit the corporation, quindi, dovrebbe
servire da limite per l'imputazione di persone giuridiche che lungi
dall'incentivare i reati dei loro agent, finiscono per essere loro vittime. In
breve questo requisito «potentially could be used to bring vicarious liability
more in line with assessments of corporate culpability»124. Ci sono rarissimi
casi in cui la condanna di una corporation è stata annullata proprio per la
mancanza dell'intent to benefit the corporation, quello più rappresentativo è
sicuramente United States v. Sun-Diamond growers of California (1998) in cui
la Corte asserì che non c'erano prove sufficienti a dimostrare l'intenzione di
avvantaggiare la corporation.
Tuttavia, ed è questo il punto, il respondeat superior non può essere
applicato tout court, ma soltanto nelle ipotesi di strict liability, ovvero nei casi
di responsabilità oggettiva non sorretta da mens rea, in assenza di elemento
psicologico125. Esiste un solo caso che permette l'utilizzo del respondeat
123
J.MOORE, Corporate Culpability Under the Federal Sentencing Guidelines, 34 Ariz. L.
Rev, pp. 743-759, 1992.
124
così K.F.BRICKEY, Corporate Criminal Liability: A primer for corporate Corporate
Counsel, 40 Bus. Lawyer, pp. 129, 134-135, 1984.
125
«An employer can only be charged with his employee's conduct and not his mens rea,
which limits the applicability of vicarious liability only to strict liability offences», così
M.T.TRAPASSO, op.cit., p. 246. La teoria della vicarious liability è applicata soprattutto in
riferimento, quindi, agli statutory offences dove di solito non è richiesto l'elemento
soggettivo. Ricordiamo che in generale la corporate criminal liability non si estende
nell'ordinamento inglese a tutti i reati. Si escludono in base alla nature der sache ipotesi
come la bigamia, l'incesto etc. che sono realizzabili solo da una persona fisica. Anche le
fattispecie punibili esclusivamente con la pena detentiva o di morte sono ascrivibili soltanto
agli individui in carne ed ossa. Riguardo ai cosiddetti reati di sangue, è stata concepita la
teoria di una corporate manslaughter, più per esigenze pratiche che su fondate basi teoriche,
infatti il requisito di “atti di violenza personale” mal si concilia con l'essenza inanimata della
corporation. Invece, come abbiamo detto, la persona giuridica è destinatario fisiologico di
reati che rappresentano la manifestazione tipica delle sue patologie: reati economici e i cd.
regulatory offences: si tratta di aree appositamente create per disciplinare le attività
65
superior pur richiedendo l'elemento psicologico ed è il caso in cui si ha
l'utilizzo della delega126: un soggetto è responsabile degli atti commessi da un
altro qualora abbia a quest'ultimo delegato la realizzazione di doveri che lo
statuto invece impone a lui stesso di realizzare127. Si tratta quindi di una fictio
di situazioni in cui la responsabilità colpisce il master per la sua posizione e
indipendentemente dalla prova della sua partecipazione materiale al fatto
realizzato dal subordinato.
economiche legate al mondo degli affari. I regulatory offences racchiudono disposizioni a
tutela del consumatore, norma relative alla corretta gestione degli affari, disposizioni in
materia di commercio, sicurezza pubblica, ambiente. Si tratta di fattispecie che seguono
sentieri anomali, perché spesso eccentrici rispetto ai principi base del diritto penale. Si pensi
al carattere discrezionale che caratterizza l'investigazione e la perseguibilità dei regulatory
offences, a causa di questa loro peculiarità spesso la responsabilità delle corporations per i
reati commessi non sempre si traduce in pratica (non esiste infatti come in Italia l'obbligo per
il pubblico ministero ex 112 Cost. di esercizio dell'azione penale, il prosecutor ha una sua
discrezionalità ed inoltre i deferred prosecution agreements spesso si traducono in un
salvagente dalla responsabilità). Così DE MAGLIE, op. cit., p. 146. Cfr. anche GANDINI,
op.cit., p. 137.
126
L'unico caso in cui è richiesta la mens rea e si utilizza (in via di eccezione) la vicarious
liability si ha in caso di utilizzo del delegation principle: «If a crime cannot be regarded as a
strict liability offence, but, it requires the evidence of mens rea or negligence, the general
principle states the following point: an employer cannot be found guilty on the grounds of
vicarious liability without the evidence that he knew what was happening or that he was
negligent. The delegation principle represents an exception to this rule. According to this
principle, an employer can be charged with the employee's mens rea if it is ascertained that
the first person delegated his responsibility to the second. The delegator is charged with
actus reus (the objective element of an act committed by others) and mens rea (under the
condition that he delegated an activity linked to his position)" e ancora "in short, when a
delegated principle is considered, vicarious liability is applied to those people holding a
special position. These people are held responsible for crimes committed by those to whom
they delegated a certain activity, whereas offences are committed while performing the same
activity». Ibidem, p. 247. La ratio di questa eccezione prevista in caso di delega delle
funzioni sta nel fatto che il delegante, titolare di un particolare status e di solito un apicale,
potrebbe evitare la sua imputazione per responsabilità penale delegando a qualcun altro le
sue funzioni, creando un vuoto di tutela. Il potere di delega dando la piena autorizzazione ad
agire indipendentemente dalle proprie istruzioni, qualora il soggetto delegato agisca
nell'esercizio delle proprie funzioni (scope of employment), il suo atto andrà considerato
come atto della corporation.
127
Esiste anche il cd. extented construction, per cui non si ha una vera e propria delega, ma si
applica comunque la vicarious liability ai molti statutory offences che presentano nella
descrizione dell'actus reus verbi quali “usare”, “causare”, “possedere”, “vendere”,
“permettere”.
66
§2.1.2 VERSO UNA RESPONSABILITÀ DIRETTA: LA DOTTRINA
INGLESE DELL'ALTER EGO O IDENTIFICATION THEORY (ASCESA E
CRITICHE)
Abbiamo detto che il criterio civilistico del respondeat superior
utilizzato per attribuire la responsabilità vicaria agli enti in ambito penale è
comune sia a Regno Unito che Stati Uniti. La responsabilità penale degli enti
societari era principalmente basata sul concetto di responsabilità oggettiva
vicaria, per cui gli atti del dipendente potevano essere attribuiti al datore di
lavoro, ma rimanevano pur sempre atti del dipendente.
Dagli anni Quaranta, tuttavia, «le strade del diritto inglese (e degli altri
Paesi di common law) e quelle del diritto nordamericano si separarono in
relazione ai reati in senso stretto o true crimes, non costituiti esclusivamente
attorno all'actus reus, ma sorretti anche da mens rea».128 Gli Stati Uniti, con la
nota sentenza New York Central & Hudson River129 a cavallo del XX secolo,
estesero il modulo ascrittivo della vicarious liability, basato sulla respondeat
superior doctrine, anche agli intent-based crimes, ovvero richiedenti mens rea,
delle corporation.
La giurisprudenza inglese, invece, cercando di elaborare un criterio che
si distaccasse da quello della responsabilità vicaria, almeno per i reati
richiedenti mens rea, riconobbe solo nel 1944, con un tris di casi giudiziari130,
128
Così MONGILLO, op.cit., p.1297.
New York Central & Hudson River Railroad v. United States, in 212 U.S., 1909, p.481.
130
Di “tris di casi del 1944”, hanno parlato A. PINTO e M. EVANS in A. PINTO, M.
EVANS, Corporate Criminal Liability, 2nd ed. Thomson/Sweet &Maxwell, London 2008.
Essi sono:
1) DPP v Kent & Sussex Contractors Ltd, 1944, KB, 146 (King’s Bench Divisional Court);
si evidenzia che «trattasi del primo caso in cui la dottrina della identificazione entra nel
diritto penale» (così DE GIOIA CARABELLESE, SAVINI, op.cit, p. 116) in cui il
giudice sottolinea come «una persona giuridica non è in grado di agire, di parlare, di
pensare, se non quando i suoi rappresentanti agiscono, parlano o pensano (...)». Nel caso
presente, la prima imputazione a carico della compagnia è quella di aver agito allo scopo
di creare nocumento a terzi, la seconda è quella di aver fatto false attestazioni. Una volta
che i requisiti del reato si sono così delineati, non è necessario indagare se il
129
67
la punibilità di una persona giuridica per un felony come l'omicidio o altri reati
implicanti violenza fisica o morale vincolandola al fatto che il reato fosse
opera di un soggetto qualificabile come la direct mind and will della
corporation131. Nasceva così l'identification theory o alter ego doctrine132.
rappresentante ha agito per conto della compagnia. La Corte afferma che «gli agenti
sono la persona giuridica».
2) R v ICR Haulage Co Ltd,1944, KB, 551 (Court of Criminal Appeal); qui, una società era
stata rinviata a giudizio per il reato di common law di frode o truffa, in concorso
(conspiracy). Fu affermato che la condotta dell’organo apicale della della società (il
managing director) doveva ritenersi atto della società medesima.
3) Moore v I Bresler Ltd, 1944, 2 A11, ER 515; questo caso riguarda una compagnia che
viene condannata per aver violato il Finance Act del 1940, il quale stabilisce una
sanzione pecuniaria a carico della persona che, allo scopo di trarre in inganno, faccia uso
di un documento falso. La segretaria della società (company secretary) e il direttore delle
vendite della filiale di Nottingham (sales manager) avevano venduto beni appartenenti
all'ente con metodi fraudolenti al fine di accaparrarsi laute percentuali derivanti dalla
vendita. Essi avevano perciò prodotto documenti falsi che certificavano un valore minore
rispetto a quello oggetto della transazione effettivamente avvenuta, con il risultato di
truffare l'azienda. Le due persone fisiche furono condannate insieme alla società. Fu
statuito che la mens rea (dunque la colpevolezza) del dipendente autorizzato ad
adempiere il dovere di realizzare il profitto avrebbe dovuto essere attribuita alla società.
Dunque, fu ritenuto che una società non poteva essere considerata responsabile del reato
di gross negligence manslaughter senza avere tanto il necessario actus reus (l’atto
colpevole) quanto la mens rea, nonché qualcuno, all’interno della società, attraverso cui
l’atto potesse essere attribuito alla società medesima.
Per i riferimenti a queste sentenze, oltre al già citato manuale inglese di PINTO &
EVANS, si vedano DE GIOIA-CARABELLESE e SAVINI, op.cit., pp.116-117; DE
MAGLIE, op.cit., pp.149 ss; GANDINI, op.cit, pp. 138 ss; PELLOSO, op.cit; L.
SEALY & S. WORTHINGTON, Cases and Materials in Company Law, 8th ed. Oxford
University Press, Oxford 2008;
131
Quella del 1944 è una svolta la cui portata può comprendersi maggiormente alla luce di
un caso del 1927, in cui chiaramente la Corte inglese rifiutò di condannare, mandandola
assolta, una società mineraria per l'accusa di manslaughter, ravvisando appunto che «la mens
rea non può sussistere nel caso di un'entità artificiale come una corporation» e che i reati
come quello contestato implicano «la mente corrotta dell'autore, e rappresentano la
violazione di doveri sociali appartenenti a uomini». Si tratta della sentenza R. v. Cory Bros
Co. Ltd., in King's Bench, p.810.
Per precisione è corretto rilevare, però, come le fondamenta della responsabilità non
vicaria nel Regno Unito vennero gettate, a ben guardare, ben prima del 1944, con il caso
(all'epoca rimasto isolato), del 1915, Lennard’s Carrying Co Ltd v Asiatic Co Ltd [(1905)
A.C. 705], in cui la House of Lords stabilì che gli atti e gli stati mentali di certi Senior
Officers (cd. directing minds) della persona giuridica dovevano essere considerati atti e stati
mentali dell'ente stesso. Si trattava di un caso relativo ad una vicenda di diritto civile, ma la
dottrina inglese lo descrisse fin da subito come paradigma da utilizzare in tema di omicidio
colposo commesso da enti. I fatti riguardavano un battello a vapore (tank streamer),
chiamato Edward Dawson, che mentre veleggiava per Rotterdam, prese fuoco a causa di un
difetto del boiler. Fu affermato da uno dei giudici (Viscount Haldane L.C): «My Lords, a
corporation is an abstract. It has no mind of its own...its active directing mind and will must
68
Questa viene così sintetizzata133: una corporation può ritenersi responsabile
per un reato che richiede mens rea attribuendo ad essa la condotta e lo stato
psicologico di un identificato controlling officer134, il quale agisce
nell'esercizio delle sue funzioni lavorative (scope of employment or office)135.
consequently be sought in the person...who is really the directing mind and will of the
corporation, the very ego and centre of the personality of the corporation». Inoltre la House
of Lords statuì che «i concetti di errore e consapevolezza potevano ben essere attribuiti a una
persona giuridica» («the concepts of fault and privity were capable in law of being attributed
to a corporate body».) Cfr. DE GIOIA-CARABELLESE, SAVINI, op.cit, p.117 e
GANDINI, op.cit., p.138.
132
È ormai evidente come la vicarious liability non sia più sufficiente come criterio di
imputazione: «the reference to vicarious liability - as a criterion to charge a corporation
with an offence - mostly concerned regulatory offences representing cases of strict liability.
Speaking of common law offences, public nuisance and criminal libel are the only offences
where we may take recourse to vicarious liability. For others offences - we are speaking of
very serious offences - the mechanism of vicarious liability could not work as a criterion to
charge a corporation with an offence because mens rea is part of its elements. As a
consequence, the liability of corporations has been less put into practice for a long time.
Within this framework we believe it important to extend a mechanism first used to charge a
corporations with civil liability out of a breach of contract to corporate criminal liability.
This mechanism is the alter ego principle». TRAPASSO, op.cit, p.252.
133
Una definizione chiara e concisa è data da TRAPASSO «Principle of identification could
be summarised in the folllowing way: a corporation can be held responsible for an offence
requiring mens rea by attributing the conduct and the mental condition of a controlling
officer to itself (i.e. somebody who is a part of its "directing mind and will") who acts within
the scope of his office», Ibidem, p. 253.
134
I controlling officers, sono coloro che la dottrina italiana chiama apicali e ricoprono
posizioni di carattere manageriale, prendono decisioni e controllano gli affari della società.
Senior o controlling officers sono persone con cui la persona giuridica si identifica, questo
non avviene rispetto ai subordinati. Esiste una relazione organica tra un controlling officer e
la persona giuridica quando egli agisce per suo conto: his acts and mental conditions must be
considered as the acts of the corporation.
135
Per perseguire penalmente una corporation è richiesto che il reo sia la directing mind and
will della compagnia e che ci sia un collegamento tra l'attività della persona fisica e quella
della persona giuridica in modo che si possa concludere che i suoi atti siano gli atti della
società. Occorre che il reato commesso dal controlling officer sia eseguito nell'esercizio delle
sue funzioni, non ci può essere responsabilità della company quando un manager director
per esempio ruba un portafoglio. È importante sottolineare che le azioni commesse contro gli
interessi della società non ne escludono la responsabilità: infatti un'organizzazione può
essere condannata anche nel caso venga raggirata, se si prova che il fatto illecito è stato
commesso da un controlling officer nell'esercizio delle sue funzioni. Diversamente da altre
giurisdizioni di common law, l'esistenza di un interesse o di un vantaggio per la corporation
non necessariamente porta alla sua responsabilità (nel caso Moore v Bresler Ltd. la
compagnia era stata condannata a causa delle azioni commesse dai suoi managers
nonostante questi commisero una frode contro di essa). La bozza del capo 30(6) del codice
penale inglese capovolse questa regola; la nuova visione viene spiegata chiaramente nella
sentenza Meridian che, infatti, afferma «a controlling officer does not act within the scope of
69
Gli atti di colui che è incarna la directing mind and will della società sono
considerati come atti della società stessa: il controlling officer non è un mero
rappresentante della società, ma è la società, secondo una logica di
immedesimazione organica.
Nonostante l'entusiasmo per l'emersione di un nuovo modello
d'imputazione, ci sono state pesanti critiche nei confronti della giurisprudenza
per non aver ancora ben chiarito il nuovo paradigma imputativo, dandone una
definizione confusa. È da rilevare in effetti che, per esempio, nel caso ICR
Haulage Ltd. la motivazione non spiega in che modo «ha consentito di
attribuire alla corporation, come fossero suoi propri, le condotte e gli stati
mentali dei suoi dirigenti»136. Un altro problema è che in questo periodo di
consolidamento dell'identification theory non si comprende ancora se siano
rilevanti i comportamenti tenuti dai soli vertici oppure anche quelli dei
his office if he acts with an intent to damage or hide a damage for the corporation». Così,
TRAPASSO, op.cit., p. 257
136
Si veda DE SIMONE, op.cit., p. 151; allo stesso modo DE MAGLIE, op.cit, p.150 che
osserva come nella sentenza in questione non si capisca «in base a quali meccanismi la mens
rea dei singoli si trasformi in mens rea della corporation».
DE SIMONE, inoltre, nell'analisi critica dell'alter ego theory in generale, dopo
averne apprezzato «la sorprendente vitalità» anche nella dottrina italiana (cd.
immedesimazione organica, come vedremo), afferma che «vi sarebbe, tuttavia, una non
irrilevante difficoltà, sul piano logico-concettuale derivante dal ricorso allo schema
dell'immedesimazione organica (...): l'imputazione alla societas della condotta dell'organo (la
persona fisica è qui considerata come mero organo della società, n.d.r.) dovrebbe precludere
la possibilità di configurare la stessa come azione propria di questo, e ciò dovrebbe portare
ad escluderne la responsabilità penale, con conseguente violazione del principio della
personalità della responsabilità nella sua declinazione positiva (ciascuno deve rispondere per
ciò che ha fatto)». La teoria organicista sarebbe pertanto riduttiva rispetto alla condotta della
persona fisica, ovvero si considererebbe la societas come unico autore del reato, poiché
«l'azione, osserva Jakobs (...), si può imputare ad una sola persona, ragion per cui ciò che si
ascrive alla persona giuridica, non potrà non essere in qualche modo scomputato al soggetto
che impersona l'organo».
Tuttavia, osserva l'Autore, la maggior parte degli ordinamenti, compresi quelli che
utilizzano paradigmi di responsabilità culturalmente fondati sul concetto di
immedesimazione organica, si muovono nella direzione di una responsabilità concorrente o
cumulativa di persone giuridiche e fisiche. Questo accade soprattutto per le «pressanti e
ineludibili richieste della politica criminale», che piegano la coerenza logica della
dogmatica: «sarebbe irragionevole e controproducente ritenere che la responsabilità dei
soggetti metaindividuali porti ad escludere sempre e comunque, quella dell'autore del fatto di
connessione». Così DE SIMONE, op.cit., p.151-152.
70
sottoposti137. Nascono, infine, dei problemi di interpretazione sulla poco
definita, ma cruciale ai fini della teoria dell'alter ego, figura del controlling
officer.
Nei trent'anni successivi il nuovo criterio d'imputazione viene
riformulato con maggiore chiarezza. Il case che ne offre l'opportunità di
perfezionamento è il caso Tesco Supermarket138.
A) IL CASO TESCO
Accadde che il capo reparto di uno dei punti vendita dei supermercati
Tesco violò il Trade Descriptions Act del 1968 permettendo che venisse
apposta l'indicazione “offerta speciale” in una vendita invece ordinaria,
offrendo quindi beni di consumo, simulando prezzi inferiori a quelli reali139.
La Corte accolse le difese della Tesco ed enucleò i principi generali che
sarebbero andati a delineare l'identification theory: la condanna andava esclusa
qualora l'imputato avesse provato l'esistenza di una due diligence defence,
ovvero che il reato si era consumato per l'azione o l'omissione di un'altra
persona o per altra causa indipendente dal suo controllo, che l'azienda aveva
adottato tutte le precauzioni ragionevoli, esercitando così la diligenza dovuta
137
Nel caso Moore v. Bresler si applicò la teoria dell' alter ego anche se l'agent, la segretaria,
non era un apicale, ma un sottoposto di bassa gerarchia, che di certo non poteva identificarsi
come “la mente” della corporation. Abbiamo quindi un'estensione del criterio dell' alter ego.
Così DE MAGLIE, op. cit., p. 150; l'Autrice si chiede se la soluzione adottata nel caso
Moore v. Bresler sia accettabile: è corretto che la persona giuridica risponda anche per le
condotte realizzate allo scopo di danneggiare la corporation? Lasciando intendere una
risposta negativa.
138
È solo con il caso Tesco Supermarkets Ltd v Natrass [1972] AC 153.35 che le Corti
fornirono linee-guida in merito alla dottrina della identificazione, e dunque di attribuzione
della responsabilità da corporate manslaughter, sebbene nello stesso si riaffermi il principio
di cui alle decisioni del 1944 (così DE GIOIA-CARABELLESE, SAVINI, op.cit., p.118).
139
In particolare, un detersivo fu messo in vendita in uno dei supermercati Tesco ad un
prezzo più alto di quanto pubblicizzato. Fu il commesso del negozio che, nel mettere in
ordine gli scaffali, lasciò dei pacchi di detersivo con prezzi al valore di mercato, anziché a
quello scontato (Tesco durante quei giorni offriva i detersivi a prezzo speciale fino ad
esaurimento scorte); inoltre, il commesso aveva omesso di informare il manager del negozio
e quest'ultimo non aveva notato la differenza di prezzo.
71
per evitare la commissione del reato da parte sua o da parte di soggetti sotto il
suo controllo. Il cuore dell'argomento difensivo fu il seguente: «il capo reparto
che ha consentito la realizzazione del reato è solo un soggetto ai margini della
gerarchia aziendale; non fa parte dei vertici della persona giuridica, del nucleo
dirigente che decide le linee di gestione dell'organizzazione; le sue azioni non
sono assimilabili a quelle della società»140. Quindi, il reato compiuto dall'altra
persona (la persona fisica autrice materiale del reato) non poteva e non doveva
essere riflesso sull'azienda141. Uno dei giudici, Lord Reid, limitò l’ambito delle
persone da considerarsi la “directing mind and will”: «the board of directors,
the managing director and perhaps other superior officers of a company
carrying out the functions of management and speak and act as the company.
The subordinates do not». In breve: il consiglio di amministrazione, l’alta
dirigenza, ma non i meri lavoratori subordinati potevano essere considerati la
mente della società.
Questa teoria riprese la teoria organicistica ottocentesca di Gierke e
prevedeva che tutte le azioni lecite o illecite realizzate dai soggetti apicali
della società fossero imputati alla società stessa, le loro azioni si
identificavano perfettamente in quelle della società. Il nuovo criterio di
imputazione si basava sull'idea che la corporation si identificasse pienamente
nel comportamento dei suoi dirigenti, mentre l'identificazione veniva meno
quando i responsabili degli illeciti serano i suoi impiegati dipendenti142.
140
Così DE MAGLIE, op. cit., p. 151; Cfr. DE GIOIA-CAREBELLESE, SAVINI, op.cit.,
pp. 118 ss.: la difesa si era costituita per fatto o inosservanza di un’altra persona; si poneva
l'accento sul fatto che l’accusato aveva preso ragionevoli precauzioni ed aveva esercitato la
dovuta diligenza per evitare la commissione del reato.
141
Venne, tra l'altro, fatto intendere come il caso Tesco avrebbe potuto vincersi da parte
dell'accusa, se si fosse utilizzato il criterio della vicarious liability , dato che si trattava di
uno statutory offence e non era perciò necessario scomodare l' identification theory: «M.
Jefferson underlined how a recourse to the identification criterion was not necessary,
provided that it was the case of regulatory offences. Then the principle of vicarious liability
could be regularly applied. According to this principle, the company would be liable for its
employees' acts (including the store manager). Così, TRAPASSO, op.cit., nota n. 58, p. 258.
142
Cfr. DE MAGLIE, op.cit. p. 148 e D. PELLOSO, La responsabilità penale degli enti in
Gran Bretagna. Il leading case Tesco e la responsabilità diretta: un'analisi critica, in
www.rivista231.it.
72
Qui non esisteva più alcun meccanismo traslativo dal reo persona fisica
alla corporation: si affermò chiaramente nella sentenza Tesco, che questi
soggetti, che definiamo apicali, non agiscono per conto della persona
giuridica, ma sono la persona giuridica143. Da ciò si derivò, per la prima volta,
la diretta (e non più vicaria) responsabilità delle persone giuridiche144.
In conclusione, quello che si trae dal caso Tesco è che l’ente societario
poteva ora essere condannato per un reato non-statutario e che quindi
richiedesse la prova della mens rea, se la persona fisica che aveva commesso il
cd. actus reus fosse identificabile all’interno della società e la persona stessa
risultasse essere di livello gerarchico elevato (cosa che non poteva essere nel
caso di specie, in quanto la mente che aveva causato il fatto era un semplice
manager di negozio).
Si precisa che l'identification theory rimane tuttora vigente per i reati
non statutari e non regolati da una legislazione ad hoc145.
I punti critici ancora aperti, però, sono diversi. Per esempio, rimane da
capire chi sono i soggetti che possono considerarsi apicali e quali no, il che
non è sempre agevole. Occorre evidenziare come questa teoria dell'alter ego
rifletta una concezione ancora strettamente antropomorfica della corporation
ed infatti, per spiegare la divisione dei ruoli all'interno della società e quindi la
netta distinzione tra semplici dipendenti e alter ego, la decisione in esame
143
Queste le esatte parole di Lord Reid nel caso Tesco «then the person who acts is not
speaking or acting for the company. He is acting as the company and his mind which directs
his act is the mind of the company», in A. PINTO, M. EVANS, Corporate criminal liability,
Sweet & Maxwell 2008, p. 52.
144
Cfr. D'ACRI, op.cit., p. 25 e ss.
145
Circa un esempio di reato non statutario ora regolato da una statute law ad hoc, si può
citare l'esempio del cd. omicidio societario (corporate manslaughter). La sua
regolamentazione, come vedremo, non è più affidata alla common law (e quindi
all'applicazione dell'identification theory), ma ad una nuova statute law, il Corporate
Manslaughter and Homicide Act del 2007 (CMHA 2007) che, abbandonando l'identification
theory in riferimento a questo serious offence (ovvero reato non statutario e richiedente mens
rea), tenta la ricerca di una colpevolezza propria dell'impresa, andando verso un nuovo
criterio imputativo a cui tutta l'Europa, compresa l'Italia guarderà con molto interesse. Per
approfondire il tema con riferimento al CMCHA inglese si veda infra § 2.1.3. Per i reati
statutari (regulatory offence) vige invece tuttora la responsabilità vicaria e dunque il criterio
del respondeat superior.
73
«non trova di meglio che dare alla organization le sembianze di un corpo
umano con attributi di mente e braccio»146. Nonostante la metafora, ancora
non si capisce come distinguere “le menti” e “le braccia” della corporation.
Nel caso Tesco, Lord Pearson, cercò di riempire questa lacuna affermando che
ci esistevano alcuni soggetti che potevano per certi requisiti, identificarsi nella
compagnia perché incarnavano la sua directing mind and will, il suo ego e il
suo cervello, ma che non si potevano in definitiva avere regole tassative sulla
demarcazione tra brains e hands della corporation, occorreva sempre valutare
caso per caso la situazione concreta tenendo conto di vari fattori tra cui la
dimensione dell'azienda, il tipo di attività, la struttura della corporate
govenance. Sarebbe, dunque, necessaria una valutazione ad hoc per ogni caso
specifico, non essendo possibile enucleare un principio generale per
distinguere apicali e subordinati147.
146
Così DE MAGLIE, op. cit., p. 150. L'autrice riporta le esatte parole della pronuncia in
esame: «una persona giuridica può essere per molti versi paragonata al corpo umano. Ha un
cervello e un sistema nervoso centrale che controllano i suoi movimenti. Ha anche braccia
che si muovono conformemente ai suoi comandi dei centri nervosi. Alcuni soggetti della
compagnia sono meri dipendenti con sole braccia per lavorare e di certo non rappresentano
la mente o la volontà dell'azienda. Altri sono direttori e dirigenti che rappresentano la mente
e la volontà di organizzazione e controllano le sue azioni. L'atteggiamento psicologico di
questi dirigenti è l'atteggiamento psicologico della compagnia ed è così trattato dalla legge».
Ma questo è solo uno dei tanti altri esempi, come dimostra un altro caso citato da DE
GIOIA-CARABELLESE, SAVINI, op.cit., p.117: Bolton (Engineering) Co Ltd v. Graham
and Sons Ltd [1975] 1 QB 159, in cui Lord Denning, paragonò esplicitamente un ente ad una
persona fisica affermando: «It has a brain and nerve centre which controls what it does. It
also has the hands which hold the tools and act in accordance with directions from the
centre. Some of the people are mere servants and agents who are nothing more than the
hands…and cannot be said o represent the mind or will». L’assunto di Lord Denning, pur
rilevante ed innovativo, effettivamente mette a nudo uno svantaggio sotteso alla teoria della
identificazione, in particolare il fatto che solo ad una certa classe di persone all’interno di
una organizzazione può essere attribuita la mens rea.
147
In definitiva non esiste un criterio assoluto per identificare con certezza gli apicali,
occorre valutare il caso per caso. Tuttavia, è utile, anche se non unico fattore rilevante,
osservare cosa prescrive lo statuto della corporation. L'applicazione dell'identification theory
non dipende dal titolo formale di una persona all'interno della società (criterio formale), ma
dalla funzione che nella prassi realmente esercita; inoltre il fatto che una persona svolga
un'attività di tipo intellettuale piuttosto che manuale non è un indicatore corretto, quello che
è importante è guardare a chi ne ha davvero il controllo (criterio funzionale): «the difference
between those who represent the hands of a corporation and those who represent the mind of
a corporation is often invoked to establish whether a person acts as a corporation or just as
74
Una critica autorevole alla decisione Tesco viene fatta da A. Pinto e M.
Evans148 che evidenziano come il limitare la classe di persone imputabili,
riduca a dismisura le possibilità di individuare la persona che possa essere
ritenuta responsabile all’interno della società; circostanza questa riecheggiata
nel caso R v Peter Kite149, il quale incidentalmente mise a nudo il fatto che la
teoria dell'alter ego funzioni solo in casi in cui siano coinvolte piccole entità,
ove, per definizione, un individuo possa essere identificato più facilmente150.
Riassumendo, all'inizio degli anni Settanta, si evidenziano due criteri di
imputazione nell'ordinamento inglese per contrastare la criminalità di impresa:
1) il criterio della vicarious liability (respondeat superior) che riguarda
solo i regulatory offences, reati che non richiedono mens rea
(l'elemento psicologico) e che rientrano nei casi di strict liability
its employee or agent. It is indeed more appropriate to quote the reference to the control and
not to the management of a company». Così TRAPASSO, op.cit., nota 43, p. 255.
Ci sono due punti di vista giustapposti: 1) il titolo dovrebbe appartenere a una persona che
ricopre realmente una funzione di management and control (criterio funzionale) 2) dati come
la distribuzione dei ruoli all'interno della corporation dovrebbero essere presi in
considerazione. I giudici dovrebbero valutare se un reo possa considerarsi detentore di un
rilevante controllo sulla società, valutando la misura della corporation, la sua attività e la
distribuzione dei doveri all'interno dell'organizzazione. D'altra parte la casistica offre
un'interpretazione restrittiva del concetto di directive mind and will: si considerano senior o
controlling officers soltanto coloro che ricoprono una posizione che si possa classificare
come indipendente all'interno della corporation. TRAPASSO, op.cit. 254-255.
148
A. PINTO - M. EVANS, Corporate Criminal Liability, Sweet & Maxwell, 2013, nota 27,
p. 47.
149
R. v. Kite and OLL Ltd., Winchester Crown Court, 8 December 1994.
150
In questo caso giudiziario, la società indagata, OLL Ltd, era stata messa sotto indagine
per omicidio colposo insieme al proprio managing director, Mr Kite. I fatti riguardavano la
morte di quattro ragazzi i quali avevano preso parte ad una gita in canoa organizzata dalla
società di Mr Kite. In tal caso, la società fu condannata facilmente per corporate
manslaughter, in quanto, essendo le dimensioni della stessa molto limitate, era facile
identificare Mr Kite quale directing mind and will, essendo lo stesso unico amministratore e
dipendente.
In relazione alla condanna per omicidio colposo inflitta nel caso Kite, in dottrina
(Cfr. J. Gobert and M. Punch, Rethinking Corporate Crime, Butterworths LexisNexis, 2003)
vengono mosse alcune critiche: il “test di identificazione” (ovvero l'applicazione della teoria
dell'alter ego) è ben difficile da applicare alle moderne strutture imprenditoriali, poichè
ormai i modelli di business si sviluppano a più livelli, con ramificazioni capillari e dunque
risulterebbe arduo identificare un individuo di alta autorità. Gobert e Punch, sottolineano
criticamente come il test di identificazione può spingere le società ad adottare modelli
organizzativi molto verticali, di modo che i riflessi penali della loro operatività non possano
raggiungere coloro che fossero al livello più alto della scala gerarchica.
75
(responsabilità oggettiva). È un criterio a base ampia che coinvolge tutti
i dipendenti che commettono un reato agendo per conto della
corporation, di qualsiasi livello gerarchico.
2) il criterio dell' alter ego che, al contrario del respondeat superior, si
applica tutti i reati che richiedono l'elemento psicologico (true crimes o
serious offences), di gran lunga la maggioranza rispetto ai regulatory
offences, ma la base su cui agisce è più limitata rispetto al precedente
criterio, in quanto coinvolge solo la fascia dirigente.
Questo binomio, sulla carta forse convincente, nella prassi risulta per certo
carente circa la sua applicabilità effettiva. Ad esempio la categoria dei mens
rea offences per fatto illecito commesso da un subordinato non pare toccata:
«in tal caso infatti non potranno trovare applicazione né la identification
theory (perchè si tratta di un subordinato) né il criterio della vicarious liability
(perchè si tratta di un reato costruito con mens rea)»151.
Il criterio della responsabilità vicaria appare «per certi versi troppo
esteso, perché travolge senza distinzione di ruolo e di responsabilità tutti gli
impiegati dell'azienda; per altro verso è invece eccessivamente ristretto, perché
non tiene conto dei programmi di autoregolamentazione eventualmente
applicati all'interno della company»152. Nel dettaglio, una simile impostazione
si rivela essere, da un lato eccessivamente inclusiva (over-inclusive), nella
misura in cui l'ente collettivo può essere sanzionato anche se i suoi directors,
officers, e senior management abbiano agito in senso contrario alla policy
aziendale; dall'altro, oltremodo esclusiva (under-inclusive) in quanto la cerchia
151
Così D'ACRI, op.cit., p. 59. Si vedrà a breve, nel caso Meridian, la risposta della
giurisprudenza, che ha cercato di dilatare il criterio dell'identification model anche ai non
apicali, spingendo verso un meccanismo più elastico che guardasse allo statuto dell'impresa e
ai suoi meccanismi organizzativi interni.
152
DE MAGLIE, op.cit., p.153; L'Autrice ripropone il pensiero di C. WELLS, Developments
in Corporate Liability in England and Wales, in Eser-Heine-Huber (a cura di), Criminal
Responsibility of Legal and Collective Entities, 1999.
76
di soggetti in grado di impegnare la responsabilità della società è tanto più
circoscritta quanto più la corporation sia di grandi dimensioni153.
D'altra parte, dal canto suo, l'identification theory non tiene conto della
pluralità delle tipologie di corporation che differiscono per dimensione,
statuto, divisione delle mansioni e struttura di corporate governance. Inoltre,
questa teoria dell'alter ego è insufficiente quando, per la complessità della
struttura delle sempre più grandi e articolate corporations, non si riesca ad
identificare la singola persona fisica autore del reato, poiché il reato deriva da
una serie di errori di gestione e di omessi controlli dovuti a una colpa di
organizzazione154. La teoria dell'identification prevede, infatti, che se una
società è imputata per un reato, questo reato deve essere commesso con mens
rea da parte di un controlling officer identificato: allora, più una corporation è
strutturata, più avrà possibilità di evitare ed aggirare la responsabilità, perché
sarà molto più difficile individuare la persona fisica autrice del reato. È chiaro
che la complessità della struttura della corporation rende molto difficile
identificare chi incarna la directing mind and will155. Il criterio
dell'identification theory manca quindi di flessibilità. Questo difetto, come
vedremo a breve, è stata esaminato dal caso Meridian156.
Ancora, è da rilevarsi come autorevole dottrina abbia messo in luce il
paradosso del cd. “criterio Nattrass”157, ovvero il fatto che esso «funziona
meglio nei casi in cui è meno richiesto e funziona peggio in quelli in cui,
invece, risulta indispensabile»158. In altre parole, nelle piccole imprese, dove la
distinzione tra organi decisionali e quelli esecutori risulta più netta, è più
probabile che chi amministri direttamente la società sia anche personalmente
153
GOBERT, Corporate criminality: four models of fault, in Legal studies, 1994, p.400.
Vedremo come proprio questo concetto di colpa di organizzazione aprirà una terza via di
soluzione nei criteri di imputazione, non solo nel Regno Unito.
155
Ibidem, p. 255.
156
Meridian Global Funds Management Asia Ltd v The Securities Commission [1995] 2 AC
500 (Privy Council).
157
La teoria dell'identificazione o alter ego doctrine viene anche detta “criterio Nattras” dal
caso giurisprudenziale da cui si generò: Tesco Supermarkets Ltd v Natrass [1972] AC 153.35
158
J. GOBERT, op.cit., p.401.
154
77
responsabile dell'illecito commesso, rendendo così superfluo perseguire l'ente
collettivo. Nelle imprese di grandi dimensioni, al contrario, la difficoltà di
ascrivere un reato a uno o più individui rafforza il bisogno di pena nei
confronti dell'ente collettivo.
Nonostante il criterio dell'identificazione sembri dirigersi teoricamente
verso il principio di colpevolezza, introduce, in realtà, una forma mascherata
di responsabilità di tipo oggettivo. Infatti, il subordinare il rimprovero da
muovere in capo all'ente, all'accertamento della responsabilità penale di un
soggetto (anche se in posizione apicale) rende superflua qualsiasi indagine
autonoma sulla colpevolezza della persona giuridica. Ecco perchè la dottrina
anglosassone include la teoria dell'alter ego nelle teorie di imputazione
antropomorfiche o cd. derivative theories159.
Il dualismo dei criteri imputativi descritti è troppo didascalico per
imbrigliare la complessità dell'attuale criminalità d'impresa, affermare che i
regulatory offences stanno alla vicarious liability e dunque alla strict liability,
come i reati sorretti da mens rea stanno all'identification theory, non copre
tutte le possibilità reali160. Questo perché, per esempio, alcuni regulatory
Rientra nelle derivative theories anche il cd. “criterio della ratification”: si tratta di una
specificazione della teoria dell'identificazione che consiste nella ratifica ex post, da parte del
controlling o senior officer della condotta dell'autore materiale del reato, nonché suo
subalterno. Quando, quindi, il controlling officer non assume in prima persona l'iniziativa
criminosa, ma la ratifica ex post l'operato dei suoi sottoposti, non sfugge alla responsabilità
in quanto la deliberazione ad agire in un certo modo resta sempre competenza degli apicali e
può eventualmente esprimersi con la ratifica di iniziative provenienti dal basso.
160
Inoltre i campi di applicazione delle rispettive due teorie imputative non sono netti e
chiari. Emblematico a questo proposito è un altro caso in cui è coinvolta Tesco, dove un
cassiere, suo dipendente, vende ad un minorenne una videocassetta per adulti (Tesco Stores
Ltd. v. Brent London Borough Council, 1993, 2 All ER 718, DC). Si sarebbe dovuto
utilizzare il criterio dell'identification theory, ma secondo la Corte l'impiego di questa teoria
dottrinale avrebbe vanificato l'applicazione e l'efficacia di una norma di legge (Video
Recording Act del 1984). Si ritiene che il cassiere avrebbe potuto avere dubbi ragionevoli
sulla maggiore età del cliente, ma sulla base dell'identification theory Tesco esclude che
questi possa rappresentare la sua directing mind and will della società. La Corte condannò
Tesco utilizzando il criterio della vicarious liability (nonostante il reato in questione
richiedesse mens rea e non riguardasse un caso di strict liability) affermando che «se si desse
rilevanza all'argomento dell'appellante, nessuna azienda nazionale sarebbe mai condannata
per questo reato!» Cfr. DE MAGLIE, op.cit, p.154.
159
78
offence, detti hybrid offences
161
, hanno una doppia anima, ovvero seguono lo
schema della strict liability perché il prosecutor non ne deve provare
l'elemento psicologico, ma sono assimilate alle ipotesi caratterizzate da mens
rea poiché contengono una defense (causa di esclusione della responsabilità)
che consente all'imputato di dimostrare di aver usato tutta la diligenza dovuta
per evitare il reato o di aver adottato tutte le precauzioni possibili, mediante
un'inversione dell'onere della prova.
Tutto ciò contribuirà ad incentivare il delinearsi di un concetto di
corporate criminal liability come difetto di organizzazione (cd. organizational
o management failure), slegato dalla colpevolezza della persona fisica e alla
ricerca
di
un'autonoma
“riprovevolezza
di
impresa”
(corporate
blameworthiness) alternativo ai due paradigmi imputativi classici a
quest'ultima legati: vicarious liability e identification theory.
Prima di arrivare al concetto di management failure, che è stato
recentemente definito dalla dottrina italiana come «l'innovazione più
progressista e più interessante dell'intero panorama penalistico europeo»,
nonché il criterio ascrittivo di responsabilità «che più si avvicina a un
autentico paradigma di responsabilità originaria o per fatto proprio»162,
bisogna passare da altri due passaggi fondamentali della giurisprudenza
161
Gli hybrid offences contengono sia elementi di reati sorretti da mens rea, che di reati a
responsabilità oggettiva (strict liability offences, which are also defined as alleged offences
of strict liability with due diligence). Sono caratterizzati da un'inversione dell'onere della
prova, quando una defence (come la dimostrazione dell'impiego di una due dilegence o di
una reasonable knowledge) diventa un correttivo della responsabilità oggettiva. In presenza
di un hybrid offence, quindi, una persona (sia fisica che giuridica) non può essere punita
oggettivamente, se dimostra di aver usato la diligenza dovuta o aver predisposto tutte le
precauzioni per prevenire l'evento criminoso in questione. Per applicare questo meccanismo,
esistono due differenti soluzioni. La prima prevede che una persona giuridica sia imputata di
un hybrid offence utilizzando il criterio della vicarious liability (e quindi indirettamente), a
meno che essa non provi, questa volta invece tramite l'identification theory, di aver agito con
la dovuta diligenza attraverso gli apicali con cui si identifica (membri del board of directors
o top managers). La seconda soluzione, invece, utilizza sia per l'imputazione della
corporation che per la sua defense il criterio della vicarious liability, in questo caso se si
riscontra una carenza di diligenza, questa andrà valutata considerando la condotta criminosa
della persona fisica, anche se non si tratta di apicale in cui la persona giuridica si possa
identificare. Per approfondire TRAPASSO, op.cit., p.260 e ss.
162
Così DE SIMONE, op.cit, p. 400.
79
inglese: quella del rifiuto, da parte delle Corti inglesi, della teoria statunitense
dell'aggregated culpability ed il conseguente tentativo di allargare, invece, le
maglie dell'applicazione dell'identification theory, con il noto caso
Meridian163. Quest'ultimo, tuttavia, non avrà molto seguito nella prassi,
portando appunto all'elaborazione per la prima volta in Europa, attualmente
per due sole fattispecie di reato (involuntary manslaugher e bribery crimes), al
concetto di organizational fault nella forma del c.d. management failure. Ma
procediamo con ordine e analizziamo i graduali passaggi della giurisprudenza
anglosassone.
B) DALLA TRAGEDIA DI ZEEBRUGGE AL CASO MERIDIAN
Dopo la tragedia di Zeebrugge164 degli anni Novanta, che mise la
società davanti al fatto che anche la corporation poteva uccidere165,
163
Si noti fin da ora come i percorsi giurisprudenziali e dottrinali, relativi ai criteri di
imputazione della responsabilità penale societaria anglosassone e statunitense, siano
differenti: entrambi prendono le distanze dalla scelta degli ordinamenti di civil law di
continuità con il dogma societas delinquere non potest, ma poi, eccetto che per il criterio
ascrittivo più datato (e in via di superamento) del respondeat superior, divergono
sostanzialmente. Il Regno Unito predilige la teoria dell'identificazione o alter ego doctrine,
che non ha mai attecchito nella giurisprudenza statunitense. In America, invece, le Corti, a
partire dal caso U.S. v. Bank of New England [821 F.2d 844 (1st Cir. 1987)], sostengono il
concetto di aggregated culpability, rifiutato invece dalle Corti del Regno Unito nello stesso
anno, con il primo giudizio relativo alla tragedia di Zebrugge. Negli ultimi decenni
assistiamo ad una lenta nuova convergenza dei due ordinamenti, non ancora completata,
attorno a nuovi possibili criteri imputativi basati sul concetto di colpa in organizzazione,
ovvero propria dell'ente e non più degli individui che ne fanno parte e quindi all'abbandono
totale della responsabilità vicaria.
164
Il battello Herald of Free Enterprise salpò nel marzo 1987 dal porto di Zeebrugge diretto
a Dover, dopo venti minuti si capovolse e affondò, morirono 188 persone. Le perizie
evidenziarono che la causa del disastro fu il fatto che l'imbarcazione era salpata con i
portelloni aperti. Si aprì il processo penale per involuntary manslaughter (omicidio colposo)
a carico della compagnia e di 8 persone fisiche membri dell'equipaggio.
Sul caso di Zeebrugge si veda per approfondire: DE MAGLIE, op.cit., p. 156;
GANDINI, op.cit., p.139; DE GIOIA CARABELLESE-SAVINI, op.cit., p.120,
TRAPASSO, op.cit., p. 259.
165
Nel 1996 nell'ordinamento inglese il Law Commission Report n.237 modellò una nuova
figura di omicidio, il cd. corporate killing, reato principe tra quelli che necessitano mens rea
e quindi a cui si sarebbe dovuto applicare l'identification theory (se commesso da apicali),
ma dopo la tragedia di Zeebrugge, si cercò di allargare le maglie di questa teoria e colpire, in
80
cominciavano ad auspicarsi diverse regole di imputazione: ancorando la
responsabilità delle corporation a quella delle persone fisiche suoi apicali,
come voleva l'alter-ego doctrine, si creavano enormi vuoti di tutela; così,
anche di fronte alla morte di 188 persone a bordo dell'Herald of Free
Enterprise, salpato da Zebrugge e affondato poco dopo, non essendoci
abbastanza prove verso una delle persone fisiche al vertice della P&O
European Ferries, anche l'intera compagnia finì per essere assolta, poiché non
c'era una colpevolezza individuale a trainare quella della società. Cominciò a
farsi sentire la necessità di un modello di colpevolezza di impresa meno
antropormofo e indipendente dalla colpevolezza della persona fisica.
Il modello vicino a quello statunitense del collective knowledge o
intent166 (aggregated culpability) non ebbe fortuna in nel Regno Unito come
dimostra proprio il primo giudizio riguardante tragedia di Zebrugge167, quando
qualche modo, anche la corporation. Si cercò il risultato pratico, punire la corporation,
anche se la teoria a fondamento non era, e non è, ancora ben stabile e chiara.
Il progetto prevedeva tre tipi di manslaughter (che si differenziava dal murder per
essere una forma leggermente più lieve di omicidio, ossia non doloso): si aveva, quindi, per
le persone fisiche la fattispecie di reckless killing e di omicidio realizzato con negligenza
grave, il cd. killing by gross carelessness, mentre destinato alla sola corporation era la
fattispecie di corporate killing. L'act n. 237 del 1996 evidenziava come la fattispecie di
corporate manslaughter, anche se ricalcando l'ipotesi di killing by gross carelessness della
persona fisica, non poteva essere formulata usando le categorie disegnate sull'essere umano
persona fisica, quindi rispetto a questa venne escluso dalla norma il concetto di ovvietà del
rischio, apprezzabile solo da una persona in carne e ossa. Si abbandonarono i retaggi
individualistici tipici dell’alter ego theory: non ci si basò più (solo) sulla posizione
gerarchica del reo persona fisica, ma anche sul tipo di condotta.
Si vedrà poi, come il fulcro della nuova fattispecie di corporate killing sarà il
concetto di management failure (difetto di organizzazione), di cui il progetto di riforma non
dà una definizione né univoca né chiara, ma verrà precisato meglio nel Corporate
Manslaughter and Homicide Act (CMHA) del 2007. Quel che era chiaro fin da allora,
invece, è che occorreva smettere di vedere i dirigenti come singoli e fare riferimento
all'insieme del cervello pensante della corporation che possiamo, appunto, chiamare
management. Rimanevano ancora grossi dubbi: con chi si identifica la corporation? Come
distinguere gli apicali dai dipendenti? Quando i dipendenti non apicali possono comunque
identificarsi con la compagnia, come nel caso Meridian? Per il testo di legge completo della
fattispecie di corporate killing si veda DE MAGLIE, op. cit., pp.160-161. Per una disamina
approfondita del reato di manslaughter societario si veda DE GIOIA-CARABELLESESAVINI, op.cit., pp. 113-115.
166
Per un approfondimento, si veda il paragrafo successivo sulla dottrina statunitense.
167
R v HM Coroner for East Kent, ex parte Peter Spooner & Others ([1987] 3 BCC 636
Q.B.D).
81
la Corte rifiutò nettamente il concetto di colpevolezza cumulativa la cd.
aggregated liability, la quale, pur avendo una propria autonomia rispetto alla
colpevolezza dei singoli, era comunque costituita dalla summa delle
colpevolezze individuali.
In tale giudizio, veniva appellata la decisione del coroner (il pubblico
ufficiale che indaga in casi di morte sospetta) in merito alla tragedia. Egli
infatti aveva convinto la giuria che la società P&O European non era
colpevole di manslaughter e che le prove per ritenerla responsabile erano
insufficienti. In particolare la tesi del coroner, poi accettata dalla Corte, pose
le basi, costituendo un precedente giurisprudenziale, per il rifiuto
dell'aggregated culpability nell'ordinamento inglese. Egli sostenne che «un
procedimento contro un indagato, non può essere rafforzato, ovvero
corroborato da prove contro un altro. Un procedimento contro un ente può
essere fatto solo sulla scorta di prove debitamente finalizzate a dimostrare la
colpevolezza da parte dell'ente di per sé considerato»168.
La Corte in accordo con la dottrina inglese rifiutò di aggregare condotte
criminali commesse da differenti persone, nel caso in cui la mens rea in capo
al controlling officer agente non fosse sufficiente a incriminare la corporation
per il reato da egli commesso. Si affermò, infatti, che la mens rea non poteva
essere creata artificialmente in questo modo, non potevano unirsi gli elementi
psicologici di due innocenti per dare vita ad un guilty state of mind.
Il secondo giudizio riguardò il procedimento penale nei confronti della
P&O European Ferries169, società indagata insieme ad altri sette individui; va
precisato che la società di trasporto che gestiva il traghetto affondato, l’Herald
of Free Enterprise, era originariamente la Townsend Car Ferries Ltd.,
168
I giudici non erano contrari al fatto che la mens rea necessaria per il reato di
manslaughter fosse attribuita ad una corporation - cosa invece affermata dal coroner - ma
non erano d'accordo che lo fosse in base al principio di aggregazione. Questo è confermato
da quanto il giudice Binghma ebbe ad affermare: «A case against a personal defendant
cannot be fortified by evidence against another defendant. The case against a corporation
can only be made by evidence properly addressed to showing guilt on the part of the
corporation as such».
169
[1991] 93 Cr App R 72.
82
acquisita da P&O European Ferries sei settimane prima della tragedia.
Nonostante la società indagata fosse caratterizzata da una totale
avventatezza organizzativa170, sia ai vertici che non, la Corte stabilì che il
reato di omicidio non poteva essere attribuito alla società stessa, in quanto tutti
coloro che erano coinvolti nella gestione, dai membri del Cda fino al livello
più basso dei managers, erano responsabili di errori, ognuno aveva fatto la sua
piccola parte, ma la condotta di ognuno, presa singolarmente, non costituiva
alcuna fattispecie di reato. Nessuno degli individui poteva essere identificato
come responsabile secondo la dottrina dell'alter ego, quindi nessuno poteva
essere condannato per il reato di gross neglicence manslaughter. Ed ecco
quindi, di nuovo, le debolezze della identification theory venire a galla171.
È opportuno evidenziare come questa chiusura al concetto di
aggregated culpability si scontra con la struttura sempre più complessa e
spersonalizzante delle corporation, la cui distribuzione dei compiti è talmente
ramificata da non permette di applicare né l'identification theory, né il
delegation principle. Per questi motivi, è evidente che il meccanismo
170
Un'indagine condotta secondo la section 55 del Member Shipping Act 1970 (the Sheen
Report) concluse che «from the top to bottom the body corporate was infected with the
disease of sloppiness», come riportato da V.MONGILLO, The Corporate Manslaughter and
Corporate Homicide Act 2007, p.277, in A.FIORELLA (a cura di), Corporate Criminal
Liability and Compliance Programs, Vol. I, Liability “Ex Crimine” of Legal Entities in
Member States, Jovene, 2012.
171
In punto di diritto, il giudice Turner fissò il principio per cui se una persona giuridica,
attraverso le condotte dei suoi dirigenti, compie un atto che integra la fattispecie di
manslaughter, è senza dubbio perseguibile per il reato di omicidio. Tuttavia, non ritenne
applicabile questo principio al caso in esame e tutti gli imputati furono assolti (la prima
condanna per manslaughter di una company si ebbe soltanto nel 1994 nel processo Kite and
OLL Ltd., Winchester Crown Court, 8 December 1994). Centinaia di morti, nessun
colpevole. Secondo la teoria dell'identificazione (essendo un reato sorretto da mens rea)
occorreva, per condannare la corporation, che almeno uno degli imputati che potesse
identificarsi con la compagnia, ovvero che appartenesse ai vertici dell'organizzazione, fosse
ritenuto colpevole di omicidio. Questo non si verificò: non c'erano elementi sufficienti per
condannare nessuno degli individui, così anche l'imputazione della compagnia cadde («non
era stato possibile dimostrare la colpevolezza (...) la recklessness di alcuno dei senior officers
con i quali la stessa (la corporation, ndr) poteva essere identificata» così DE SIMONE,
op.cit, p. 399). Il problema era che la responsabilità della persona giuridica restava sempre
ancorata a quella della persona fisica. Una riforma verso l'indipendenza della colpevolezza di
impresa si rendeva a questo punto necessaria.
83
imputativo dell'aggregazione di più elementi psicologici avrebbe certamente
facilitato l'incriminazione della persona giuridica172.
Dopo il fallimento della via di un nuovo criterio di imputazione, quale
quello del collective o aggregated culpability, che doveva fungere da
alternativa a quello dell'identification theory e ai suoi aspetti problematici,
l'ordinamento inglese riprese la teoria dell'alter ego, cercando però di
estenderne la portata applicativa, adattandola ai meccanismi interni della
corporation.
L'occasione per questo passo in avanti si ebbe con il caso
Meridian del 1995173.
Due capi dell'ufficio investimenti della compagnia Meridian per conto
di questa, ma ad insaputa del gruppo dei dirigenti, acquistarono delle azioni di
una società neozelandese con l'intento di acquisirne il controllo. In questo
modo venne violato il Securities Amendment Act del 1988, in base al quale
quando un soggetto sa o dovrebbe sapere di essere detentore del maggior
numero di azioni di una compagnia ha l'obbligo di informare la compagnia
stessa.
La società venne ritenuta colpevole e condannata sulla base di fatti
compiuti da due investment officer. Il Privy Council cercò qui di superare i
limiti che abbiamo visto caratterizzare la responsabilità non vicaria basata
sull'identification theory e venuti alla luce con il caso Tesco, ritenendo che il
directing mind model non fosse sempre il criterio corretto da utilizzare per
imputare la responsabilità alla persona giuridica; ai fini della responsabilità
poteva bensì considerarsi anche la mens rea di persone diverse dalle directive
minds174.
172
Va infatti rilevato che «many decisions or mistakes of the company are not taken or made
by a single controlling officer, but by some of them or they are provoked by system errors.
(...) the experience shows how several accidents are frequently due to gaps at different levels
and to different and to different people inside the companies», così TRAPASSO, op.cit,
p.259.
173
Meridian Global Funds Management Asia Ltd v The Securities Commission [1995] 2 AC
500 (Privy Council).
174
Il caso Meridian segnò l'allargamento delle maglie dell'applicazione della teoria dell'alter
ego, rendendola applicabile anche nei casi in cui gli autori del reato non si identificavano
84
Lord Hoffmann, aprì ad un'interpretazione più ampia del paradigma
imputativo e affermò che la teoria dell'alter ego basata sulla directing mind
fosse ormai superata e dovesse lasciare spazio a un meccanismo di
attribuzione della responsabilità che guardasse allo statuto della persona
giuridica, che ne studiasse le regole e ne comprendesse gli obiettivi. La norma
violata in questione imponeva che fosse resa manifesta l'identità dei soggetti
che divenissero titolari effettivi nell'emissione di titoli pubblici. Il giudice
ritenne che chi agì per conto della corporation, acquisendo l'interesse
rilevante, poteva essere considerato come la compagnia stessa, anche se ha
aveva agito alle spalle di essa.
Ne derivò un criterio di imputazione non completamente nuovo, ma
rinnovato; fu superata la rigidità della teoria dell'immedesimazione, allargando
le maglie dell'identification theory oltre gli apicali, si ottiene un criterio
imputativo più sensibile alla strutturazione delle corporation complesse, che si
addentrava nelle procedure di controllo interno e ne rifletteva le scelte di
politica aziendale. Il caso Meridian, quindi, segna una dilatazione
dell'identification model e una corrispettiva riduzione dell'applicazione del
criterio della vicarious liability.
Tuttavia, Gandini, fa notare come debba «però rilevarsi che, allo stato, i
principi di Tesco Supermarkets Ltd. sono assolutamente dominanti, in
considerazione del fatto che i principi di Meridian non hanno trovato pronunce
propriamente con la directing mind and will della corporation. Si nota come questa
interpretazione dell' identification theory a maglie larghe «may lead to uncertain results:
comparing Meridian approach critically, it was underlined how a recourse to that criterion
relies on a judge's decision to know whether a corporation is or is not to be held responsible
for some conducts», così TRAPASSO, op.cit., p. 258. Secondo l'Autore questa
interpretazione ampia darebbe spazio ad un'eccessiva discrezionalità del giudice, ma in
definitiva comunque conclude che l'estensione dell'ambito di applicazione di questo criterio
imputativo è apprezzabile. Anche DE GIOIA-CARABELLESE-SAVINI, op.cit., p.119
esprime delle riserve, ad esempio, sottolinea che non si riesce comunque a risolvere il tema
della responsabilità derivata, anche perché il nuovo criterio allarga la responsabilità al fine di
includere dipendenti di basso livello e, da ultimo, riduce del tutto la differenza fra
responsabilità vicaria tipica del dipendente, e diretta, in quanto riferibile senz’altro agli
organi apicali. Lo stesso Autore ritiene anche che tale allargata responsabilità danneggi gli
organismi societari, nel senso che diventa per questi più difficile prevedere la gamma di loro
responsabilità, creando dunque una situazione di incertezza inaccettabile in ambito penale.
85
successive conformi»175. Nella prassi attuale, quindi, è ancora Tesco il leading
case in ambito di responsabilità non vicaria, con tutti i punti critici che
abbiamo visto. I principi espressi da Tesco sono stati poi sviluppati da
pronunce successive, soprattutto sul tema della delega di funzioni176 e della
prova delle mens rea nell'ambito delle organizzazioni complesse. A
quest'ultimo proposito, abbiamo già visto come la dottrina inglese si distacchi,
ancora una volta da quella americana: mentre, come vedremo, la
giurisprudenza gli Stati Uniti, con il caso Bank of New England177 del 1987,
elaborerà
il
criterio
della
aggregated
culpability
(o
collective
knowledge/intent), come evoluzione rispetto al respondeat superior, le Corti
inglesi, nello stesso anno, nel giudizio contro la P&O European Ferries,
sceglieranno di rifiutare di considerare mens rea della società come summa
algebrica di quelle dei singoli individui che ne fanno parte, preferendo, ancora
una volta, il criterio dell'alter ego.
§ 2.1.3 ALLA RICERCA DI NUOVI MODELLI DI COLPEVOLEZZA: LA
COLPA
DI
ORGANIZZAZIONE,
OVVERO
IL
CONCETTO
DI
MANAGEMENT FAILURE NEL CMCHA DEL 2007
Come abbiamo visto il modello basato sulla dottrina dell'alter ego
presentava i suoi difetti e «conclamati limiti di funzionalità» sul versante della
prassi applicativa, ma «ci fu una goccia che fece traboccare il vaso: il
naufragio del battello Herald of Free Enterprise, nel marzo 1987, al largo del
porto di Zeebrugge»178. Come abbiamo avuto modo di osservare questa fu
175
F. GANDINI, op.cit., p. 138
nel caso Esseden Engineeing Company v.Maile, ([1982] RTR 260) la House of Lords ha
ritenuto che la persona giuridica risponda anche in caso di delega di poteri da parte del board
of directors, quando al delegato sia attribuita la piena discrezionalità nell'esercizio dei poteri
delegati ed abbia agito nei limiti della delega.
177
U.S. v. Bank of New England, 821 F.2d 844 (1st Cir. 1987).
178
Così DE SIMONE, op. cit, p. 399. Ci furono altri disastri prima che il legislatore si
muovesse in modo serio, come l'incidente ferroviario di Hatfield o il più recente londinese
del 19 Settembre 1997 (Southall rail crash).
176
86
l'occasione per inserire nell'ordinamento anglosassone una nuova forma di
colpevolezza detta management failure o organizational fault, attraverso la
nuova fattispecie di omicidio colposo della persona giuridica, con il Corporate
Manslaughter and Corporate Homicide Act del 26 Luglio 2007 (entrato in
vigore il 6 Aprile 2008)179, il quale, attualmente «rappresenta, senza alcun
dubbio, l'innovazione più progressista e più interessante nell'intero panorama
penalistico europeo» nonché «senza ombra di dubbio (il criterio di
imputazione, ndr) che più si avvicina a un autentico paradigma di
responsabilità originaria o per fatto proprio»180. Fu allora, dopo la morte di
centinaia di persone, che ci si rese conto del fatto che era necessaria una presa
di posizione forte.
Nel 1996 fu fatta una proposta della Law Commission (Report n.
237)181, relativa per l'appunto al delitto di corporate killing alla quale fecero
seguito altri progetti182. Si giunse così, dopo un iter di un decennio, al
CMCHA 2007183.
179
Da qui in poi CMCHA 2007. Il CMCHA 2007 in esame, ha avuto la prima applicazione
relativamente tardi, nel 2011, con un caso che riguardò la morte di un giovane geologo
durante la sua attività. la Corte condannò la compagnia (Cotswold Geotechnical Holdings
Ltd) per cui egli lavorava affermando che «their system of work in digging trial pits was
wholly and unnecessarily dangerous. The company ignored well-recognised industry
guidance that prohibited entry into excavations more than 1.2 metres deep, requiring junior
employees to enter into and work in unsupported trial pits, typically from 2 to 3,5 metres
deep»; la vittima, afferma ancora la Corte, stava lavorando in queste condizioni fuorilegge e
assolutamente insicure, quando morì. Il caso riguardava una compagnia di sole 8 persone, fu
però sempre nello stesso anno che una seconda corporation, stavolta di grandezza media, fu
condannata (Lion Steel Equipment Company). In Irlanda il primo caso di condanna di una
company (JMW Farm Ltd.) è ancora più recente e risale al 2012.
180
DE SIMONE, op.cit., p. 400.
181
Sulla proposta della Law commission si vedano in particolare G. DE VERO, La
responsabilità penale delle persone giuridiche, Giuffrè, Milano, 2008, pp. 76 ss; R.
LOTTINI, La responsabilità penale delle persone giuridiche nel diritto inglese, Giuffrè,
Milano, 2005, p.168 ss.; DE MAGLIE, op.cit., pp.159 ss.; C. LIMONE, Responsabilità degli
enti nel sistema inglese. Corporate Manslaughter Act 2007 e Bribery Act 2012, in
www.rivista231.it, 2012. Per il testo integrale si veda LAW COMMISSION, Report No.
237, Legislating The Criminal Code Involuntary Manslaughter, 1996, disponibile anche
online http://lawcommission.justice.gov.uk/.
182
Il killing genericamente considerato viene inquadrato in tre distinte categorie: a) murder,
l'omicidio vero e proprio 2) voluntary manslaughter, l'omicidio colposo volontario 3)
involuntary manslaughter, l'omicidio colposo involontario. La prima e la seconda tipologia
vanno escluse in riferimento all'ente, in quanto il primo richiede che l'indagato «abbia posto
87
in essere la condotta con malizia», il secondo prevede obbligatoriamente una pena detentiva,
due aspetti, la malizia e la pena detentiva, inconciliabili con il soggetto ente. Mentre nel
voluntary manlaughter la persona ha premeditato l'omicidio, ma ricorrono circostanze tali,
come la provocazione, che riducono il reato ad omicidio colposo, l'involuntary manslaughter
è anche detto manslaughter by gross negligence, poichè l'evento morte è causato da una
negligenza grave. È proprio quest'ultima tipologia di reato che viene applicata agli enti
societari di cui ci occupiamo. Cfr. DE GIOIA-CARABELLESE, SAVINI, La “231” nel
Regno Unito: riflessioni comparatistiche in merito al cd. omicidio societario (corporate
manslaughter) e al corporate manslaughter and corporate homicide act 2007, in La
responsabilità amministrativa delle società e degli enti, n. 3, 2011, pp. 115 ss.
Si veda anche MONGILLO, il quale ancora più precisamente ramifica in altre tre
tipologie la fattispecie in esame di involuntary manslaughter: 1) manslaughter by an
unlawful and dangerous act (constructive manslaughter) 2) manslaughter by subjective
recklessness 3) manslaughter by gross negligence. L'Autore sostiene che il CMCHA abbia
aggiunto una quarta categoria di manslaughter (l'unica regolata in una statutory law, appunto
il CMCHA, gli altri restano regolati dalla common law), che si ispira all'involuntary
manslaughter by gross negligence. Cfr. MONGILLO, The Corporate Manslaughter (2012),
op. cit., p. 274.
Si evidenzia che la responsabilità degli enti per il reato di omicidio colposo
societario è completamente indipendente dalla responsabilità degli individui che hanno posto
in essere la condotta illecita: per perseguire un ente secondo il CMCHA 2007, non è
necessario iniziare anche un procedimento contro una persona fisica. Nonostante, la
responsabilità dell'ente e quella individuale siano cumulative, i due soggetti, collettivo e
persona fisica, ne rispondono sempre in modo autonomo. Ne consegue che un individuo non
può essere imputato per il reato di corporate manslaughter, che è esclusivamente un reato
societario, lo dice chiaramente la section 18: «an individual cannot be guilty of aiding and
abetting, counselling or procuring the commission of an offence of corporate manslaughter».
Questo vale anche per gli apicali o appartenenti al senior management. La ratio è evitare che
gli individui diventino gli scapegoats (capri espiatori) per le mancanze dell'organization.
A questo proposito si sono create perplessità e si è generato un dibattito sia in
Parlamento che nella dottrina inglese, si veda J. GOBERT, che afferma «with its exclusive
focus on organizational liability, Parliament appears to have lost sight of the fact that senior
managers and directors are responsible for conceiving, formulating, approving and
implementing corporate policies, including those which turn out to be criminogenic», J.
GOBERT , The Corporate Manslaughter and Corporate Homicide Act 2007 - Thirteen years
in the Making but was it Worth the Wait? in Modern Law Review, 2008, p.414; C.M.V.
CLARKSON, Corporate Manslaughter: Need for a Special Offence? in C.M.V.
CLARKSON - S. CUNNINGAM, Criminal Liability for Non-Aggressive Death, Hamphire,
2008, p.88 («people are more amenable to deterrence than corporation»); C.WELLS,
Corporate Manslaughter: Why Does Reform Matters?, in South African Law Journal, 2006;
fortemente critico in generale sul concetto di corporate manslaughter fin dalla proposta della
Law Commission del 1996 è P.R. GLAZEBROOK, A Better Way of Convicting Businesses
of Avoidable Deaths and Injuries? in Cambridge Law Journal, 2002, p.418 («unless
individuals are also proceeded against, the punishment of corporation is of small relevance
to the purposes of the criminal law»). Va precisato, tuttavia, che gli individui singolarmente
possono essere responsabili per altri tipi di manlaughter come quello per gross negligence,
culpable homicide o health and safety offences, ma la dottrina (J. GOBERT e C.M.V.
CLARKSON) fa notare con quanta rarità ciò accada.
183
Per una analisi dettagliata circa la “long gestation” del CMCHA si veda l'accurato lavoro
di MONGILLO, The Corporate Manslaughter (2012), op. cit., pp. 278-282. L'Autore
evidenzia che «the very difficulty of charging a corporation with manslaughter on the basis
88
Nella section 1(1) della statute law in questione, la nuova fattispecie è
descritta nel modo seguente. L'organizzazione è responsabile del reato se il
modo in cui le sue attività sono gestite ed organizzate: a) cagioni la morte di
una persona b) consista nella grave violazione di un rilevante dovere di
diligenza che incombe alla organizzazione nei confronti della vittima.
L'organizzazione, tuttavia, risponderà di omicidio solo qualora il modo in cui
le sue attività sono gestite ed organizzate dal suo senior management sia un
elemento essenziale nella violazione del dovere di diligenza [section 1(3)] 184.
Quando la violazione è da ritenersi grave (gross breach) ce lo dice la
section 1(4)(b): occorre che la condotta reputata negligente sia di gran lunga al
of the identification doctrine led to the enactment of the Corporate Manslaughter and
Corporate Homicide Act 2007» e ancora sottolinea come l'obiettivo del disegno di legge era
quello di introdurre la nuova fattispecie di omicidio societario «with the aim of eliminating
from the test of manslaughter the need to specify gross negligence on the part of an
identifiable senior figure within the organization (i.e. the identification doctrine), without at
the same time resorting to a general test of vicarious liability», in questo il nuovo testo di
legge ha fallito. È stato, infatti, fortemente criticato il riferimento al senior management nel
testo del CMCHA 2007 (si veda la nota successiva e infra in questo stesso sottoparagrafo),
che oltre ad incoraggiare la delega di funzioni verso il basso (verso i junior managers)
avrebbe finito con il presentare gli stessi ostacoli, ai fini della prosecution della corporation,
riguardanti l'identification theory. Tuttavia, il Governo ignorò le osservazioni critiche e
promulgò comunque il testo, affermando che «the reference to senior management had the
sole function of avoiding that an organization could be called to answer for violations
occurring at its lowest levels».
184
Per la traduzione italiana della norma si veda DE SIMONE,op.cit., p. 400; Cfr.
F.CENTONZE, La co-regolamentazione della criminalità di impresa nel d.lgs. n.231 del
2001. Il problema dell'importazione dei compliance programs nell'ordinamento italiano, in
Analisi giuridica dell'economia, fasc. 2, 2009, pp. 225-226. L'Autore afferma come «si
assiste dunque nel Regno Unito a un embrionale tentativo di coinvolgere la societas nella
politica di prevenzione della criminalità (colposa) valorizzando, pur senza un diretto
richiamo ad un meccanismo di incentivi, l'adesione dell'impresa al paradigma cautelare
codificato o comunque a modalità virtuose di gestione e organizzazione dell'attività» (p.
226); Si riportano qui di seguito i passaggi salienti della norma in analisi, in lingua
originale: Corporate Manslaughter and Corporate Homicide Act 2007: «1. The offence. (1)
An organisation to which this section applies is guilty of an offence if the way in which its
activities are managed or organised – (a) causes a person’s death, and (b) amounts to a
gross breach of a relevant duty of care owed by the organisation to the deceased. [...] (3) An
organisation is guilty of an offence under this section only if the way in which its activities
are managed or organised by its senior management is a substantial element in the breach
referred to in subsection [...]».).
89
di sotto di ciò che ci si poteva ragionevolmente attendere dall'organizzazione
nelle circostanze concrete185.
Affinchè, quindi, la fattispecie di omicidio societario si configuri,
occorrono quattro test, che furono stabiliti per la prima volta dalla House of
Lords nel caso R v. Adomako186:
1) l'esistenza di un dovere di diligenza e quindi di una posizione di
garanzia (duty of care) nei confronti del deceduto187
185
La section 1(4)(b) del CMCHA 2007 statuisce che: «[A] breach of a duty of care by an
organization is a gross breach if the conduct alleged to amount to a breach of that duty falls
below what can reasonably be expected of the organization in the circumstances». In
particolare, specifica la section 8, il giudice dovrà considerare in base alle prove fornite se
l'ente sia stato sia stato inadempiente nel conformarsi alla legislazione sulla salute e sulla
sicurezza relativa alla violazione, quanto serio fosse l'inadempimento e in quale misura il
rischio di morte sia stato valutato. Il giudicante ha anche un certo potere discrezionale in
quanto la section 8(3) statuisce che al fine di considerare che vi sia stata una violazione
grave, potrà tenere in considerazione le tipologie di sistemi, le pratiche, le politiche adottate
dall'ente, in particolare ove le stesse possano aver incoraggiato la violazione, nonché, ai sensi
della section 8(4), ogni altra materia che possa ritenersi rilevante. DE GIOIACARABELLESE, SAVINI p. 125, nota 70, afferma come «in chiave esegetica, si potrebbe
affermare che la presenza di un modello organizzativo inadeguato può essere di per sé
considerato un indice di debolezza, in quanto potrebbe aver agevolato la grave violazione».
Cfr. anche MONGILLO, The Corporate Manslaughter, (2012),op.cit., pp. 290-291.
Per completezza si riporta il testo originale della section 8 citata: «Factors for jury.
(1) This section applies where – (a) it is established that an organization owed a relevant
duty of care to a person, and (b) it falls to the jury to decide whether there was a gross
breach of that duty. (2) The jury must consider whether the evidence shows that the
organization failed to comply with any health and safety legislation that relates to the
alleged breach, and if so – (a) how serious that failure was; (b) how much of a risk of death
it posed. (3) The jury may also – (a) consider the extent to which the evidence shows that
there were attitudes, policies, systems or accepted practices within the organization that
were likely to have encouraged any such failure as is mentioned in subsection (2), or to have
produced tolerance of it; (b) have regard to any health and safety guidance that relates to
the alleged breach [...]».)
186
[1995] 1 AC 171. In questa sentenza la House of Lords afferma la compatibilità tra
l'involuntary manslaughter e la negligenza grave. Per un approfondimento si veda J.R.
SPENCER - M.A. BRAJEUX, Criminal liability for negligence - a lesson across the
Channel?, in International & Comparative Law Quarterly, 2010.
187
Volendone dare una definizione si può dire che il duty of care è «an obligation (...) to take
reasonable steps to protect a person's safety», così MINISTRY OF JUSTICE, A Guide to
the Corporate Manslaughter and Corporate Homicide Act 2007, October 2007, p.8. Tale
dovere di diligenza, si precisa nella section 2(1), afferma che tale duty of care è riconducibile
alla disciplina della responsabilità extracontrattuale (law of negligence); l'ente risponde
nell'ambito delle seguenti situazioni: a) attività di lavoro (employment), in tal caso il dovere
di diligenza sarà osservato nei confronti dei dipendenti che lavorano per l'ente o eseguono
servizi per esso b) luoghi che vengono occupati dall'impresa (premises), qui il duty of care
riguarda le persone che si trovano in tale luogo, anche se non sono dei dipendenti c) fornitura
90
2) la violazione (breach) del duty of care
3) che tale violazione sia la causa dell'evento morte (nesso eziologico)188
4) la sussistente gravità della violazione (gross breach)
Ecco quindi che il nuovo criterio di imputazione del management
failure comincia a delinearsi. È importante, infatti, che la violazione del
dovere di diligenza sia attribuita al modo in cui le attività sono gestite o
organizzate («to the way in which its activities are managed and organized»).
Va, poi, aggiunto un quinto test, quello del senior management, su cui
oggi si concentrano tutte le maggiori critiche alla fattispecie189; il CMCHA
2007 statuisce infatti, alla section 1(3) che un ente è colpevole se «the way in
which the activities are managed or organized by its senior management is a
substantial element in the breach referred to in subsection (1)»190. L'ente
quindi sarà ritenuto responsabile solo se le modalità in cui le proprie attività
di beni e servizi (supply of goods or services), ciascuna attività può tradursi in un danno
(l'unico danno, o meglio evento, preso in considerazione dal CMCHA è la morte) cagionato
a terzi. GOBERT lamenta come l'unico evento preso in considerazione ai fini della legge sia
la morte, in caso di lesioni, anche gravi (più frequenti delle morti) la legge in esame non ha
efficacia, così J. GOBERT, The Corporate Manslaughter and Corporate Homicide Act Thriteen Years in the Making but was it Worth the Wait?, in Modern Law Review, 2008, p.
414. Il CMCHA non crea, quindi, nuovi doveri di diligenza per gli enti, ma si riferisce a
quelli già previsti dalla responsabilità extracontrattuale. Si sottolinea che il giudice ha
discrezionalità nel decidere se il duty of care esista o meno, infatti si precisa nella section
2(5) che «the actual existence of a duty owed by the organization is a question of law, to be
decided by the judge».
188
Sono ammesse concause, ossia non è necessario, ai fini della responsabilità, che la
violazione del duty of care sia la causa esclusiva dell'evento morte: «the managemement
failure need not have been the sole cause of death; it need only be a cause», anche se
l’inserimento di condotte frapposte potrebbero rompere la “catena causale”.Così in
Explanatory Notes to the Corporate Manslaughter and Corporate Homicide Act, paragrafo
15.
189
Secondo la section 1(4) del CMCHA 207 si definisce senior management l'insieme delle
persone «who play significant roles in - (i) the making of decisions about how the whole or
substantial part of its activities are to be managed or organized, or (ii) the actual managing
or organizing of the whole or substantial part of the activities». È chiaro, quindi, che per
poter esattamente individuare quali persone fisiche appartengano al senior management, è
necessario esaminare tutta la precisa struttura dell'ente. Ed è proprio qui che sorgono i
problemi: più la struttura è complessa, più facilmente identificabile è il senior manager, più
la corporation riuscirà ad evitare la condanna, proprio come succede per l'identification
theory.
190
Un ente è quindi responsabile di un reato, ai sensi del presente articolo, se il modo in cui
le attività sono gestite ovvero organizzate dal suo top management è un elemento sostanziale
nella violazione di cui al comma 1 dello stesso articolo.
91
sono organizzate o gestite dal suo senior management costituiscono un
sostanziale elemento di violazione ai sensi della section 1(3).
Come sottolinea Centonze, la figura del senior management è ancora,
come nella vecchia dottrina dell'identification, centrale nell'analisi delle
procedure organizzative ai fini della responsabilità. Il CMCHA 2007 fa
riferimento esplicito ai soggetti in posizione apicale (senior management) ed è
a loro che si riferisce la menzionata gestione e organizzazione delle attività
dell'ente, «questo potrebbe essere visto come una parziale concessione
dell'identification doctrine e un arretramento rispetto alla fattispecie tipizzata
nel progetto della Law Commission, il cui fulcro, com'è noto, era rappresentato
da un impersonale management failure»191. Le critiche condivise maggiori
fanno leva proprio su questo aspetto che «potrebbe contaminare la purezza del
modello messo a punto dal legislatore»192.
191
Così DE SIMONE, op.cit, p. 400. In proposito, molto interessante è l'osservazione di E.
VILLANI, Compliance Programs and Organizational Fault in Europe, in A. FIORELLA (a
cura di), Corporate Criminal Liability and Compliance Programs, Vol. II, Towards a
common model in the European Union, 2012, pp.258-263. L'Autrice cercando di capire se
effettivamente il management failure sia un’alternativa all'identification theory, conclude
come i due criteri non siano poi così differenti e per niente alternativi tra loro; Villani
sostiene che anche nell'idenfication doctrine sussiste sempre «a presumption of corporate
liability due to defective organization». L'Autrice, ancora, afferma «in most cases this seems
to be a choice of having a different and alternative criteria in place for the attribution of
liability to corporate entities (organizational failure and identification criteria).
Nevertheless, (...) the general idea that misconduct should be caused by organizational
deficiencies is not questioned at all». Si mette in luce che anche qualora il reato sia
commesso da un subordinato, ciò si verifica comunque perché il senior management ha
fallito nell'esercitare la due diligence necessaria a prevenire il reato; il management failure
sarebbe quindi intrinseco all'identification theory. Tale osservazione è meritevole attenzione,
in quanto l'opinione prevalente in dottrina è quella di individuare un retaggio di
identification doctrine anche nel nuovo criterio del management failure e non viceversa.
Tuttavia, entrambe le opinioni portano alla stessa conclusione, ovvero che il management
failure sia la direzione da prendere (e che il legislatore sta prendendo, si veda infra §2.1.5),
seppur allontanandosi gradualmente dall'identification theory, su molti punti, come visto,
insoddisfacente.
192
Ibidem; secondo l'Autore nel nuovo criterio del management failure c'è ancora un pesante
retaggio dell'alter ego doctrine, si ripropongono quindi tutti i problemi irrisolti a quest'ultima
riferiti. Dello stesso parere, CENTONZE, op. cit, p. 225; VILLANI, op.cit, pp. 249-284; DE
GIOIA-CARABELLESE, SAVINI, op.cit., pp.125-126 che affermano come «il senior
management failure, ossia la violazione ovvero l'inosservanza da parte degli alti dirigenti
dell'ente, non è del tutto nuovo e sembra coincidere con la tradizionale identification
doctrine già sviluppata nella common law; per la dottrina inglese si veda F.B. WRIGHT,
92
Sembra quindi che la dottrina dell'alter ego, già analizzata ed esistente
in common law, sia stata «semplicemente sostituita con quella del
management identification test»193 e che quindi non si possa parlare di una
vera e propria riforma rivoluzionaria.
Tuttavia, non si possono negare alcune novità e quindi differenze tra la
nuova disciplina del management failure e quella di common law
dell'identification theory:
1) il CMCHA 2007 prevede un livello minimo di ruolo che le persone
responsabili all'interno dell'azienda devono ricoprire e che si identifica
con quello di senior management; questo è in parziale contrasto con il
testo originale del Law Commission Report del 2000, il quale
richiedeva solamente un management failure, senza specificare il grado
di seniority;
2) a differenza
della
common
law
il CMCHA 2007 contiene
l'aggregazione delle azioni e delle responsabilità di diversi individui,
ciò significa che un singolo manager non necessariamente deve essere
identificato, essendo sufficiente l'inosservanza collettiva (più managers
che agiscono congiuntamente). Si tratta di quello che potremmo
descrivere un «qualified aggregation principle»194, una legittimazione
tardiva di un sistema che abbiamo visto essere «traditionally (...)
refused by English case law»195, sviluppatosi molto, al contrario, nella
dottrina americana. A voler essere precisi, il nuovo test del senior
Criminal Liability of Directors and Senior Managers for Deaths at Work, 2007, Criminal
Law Review, pp. 949-968.
193
DE GIOIA-CARABELLESE-SAVINI, op.cit.,p.125.
194
D. OMEROD-R.TYLOR, The Corporate Manlaugher and Corporate Homicide Act 2007,
in Criminal Law Review, 2008, pp.591-592.
195
Ibidem; Abbiamo visto come la giurisprudenza inglese aveva espressamente rifiutato la
teoria (invece apprezzata negli Stati uniti) dell'aggregazione degli elementi psicologici delle
persone fisiche a formare quella dell'ente, nei due casi conseguenti al disastro di Zeebrugge
(R v. H.M.Coroner for East Kent, ex parte Spooner [1989] 88 Cr. App. R. 10; P&O
European Ferries (Dover) Ltd. [1991] 93 Cr App R 72): se la Corte all'epoca avesse potuto
applicare il criterio del management failure, probabilmente la tragedia non sarebbe rimasta
impunita.
93
management elimina la necessità di identificare un individuo in una
senior position (come avrebbe richiesto l'alter ego doctrine) che abbia
causato la morte con la sua condotta negligente, ammette invece la
combinazione delle manchevolezze in termini di organizzazione e
policy aziendali di un più ampio numero di individui appartenenti
all'ente, come prova della colpevolezza di impresa o organizational
fault196;
3) la definizione di senior management risulta comunque più ampia, se
comparata con quella della precedente teoria della directing mind and
will, già sviluppata in common law197.
La critica principale però non viene smontata: il management failure
appare, se non come la copia, comunque come espansione della dottrina
dell'identificazione, tale da permettere l'aggregazione della condotta di un
maggior numero di alti dirigenti. Di conseguenza, non è affatto escluso che
con questo nuovo criterio di imputazione non si incontrino gli stessi problemi
che si incontravano per determinare la directing mind con cui si identifica la
corporation, secondo il criterio dell'alter ego o identification theory198.
196
In questo senso si veda MONGILLO, The Corporate Manslaughter (2012), op.cit., p. 290
«indeed, the new test does away with the requirement to identify an individual in a senior
position that caused the death with his or her seriously negligent conduct, but, rather, admits
the combination of shortcomings of a large number of individuals within the organization as
a proof of an organizational shortcoming».
Per la dottrina inglese, Cfr. C. WELLS, Corporate Criminal Liability in England
and Wales: Past, present, and future, in M.PIETH - R. IVORY (a cura di), Corporate
Criminal Liability: Emergence, Convergence, and Risk, London-New York, 2011, p.5:
«Although the ambiguous reference to the top of management area has understandably
raised doubts in the minds of scholars, under the new provision it is not just the conduct by a
single top manager that is investigated; as a matter of the fact, the entity may be held liable
even for a combination of different types of misconduct by more than one individual
belonging to that area».
197
Si evidenzia chiaramente come «the notion of senior management for the purposes of the
CMCHA appears to be broader than the identification doctrine's concept of 'directing mind'»
così A.PINTO, M. EVANS, Corporate Criminal Liability, London, 2008, p. 234.
198
Ibidem p.235, «the further ingredient of senior management failure adds an unnecessary
element which is likely to be difficult to prove in practice»; nello stesso senso MONGILLO,
The Corporate Manslaughter (2012), op.cit., p.288, che spiega come questo riferimento al
senior management oltre ad essere futile, è anche rischioso, perchè riporta agli stessi
problemi riferibili alla dottrina dell'alter ego, relativi alla necessità di identificare, tra i
94
Provando a tirare le somme, nonostante la dottrina italiana tessa le lodi
delle novità introdotte dal CMCHA 2007, nella patria della normativa in
esame le posizioni dottrinali divergono. Alcuni sostengono come il nuovo Act
sia deludente e che il suo impatto sia più simbolico che reale199. Qualcuno,
riesumando vecchie critiche finzionistiche, ha osservato come riservare una
fattispecie criminale ad un ente inanimato significherebbe fare un passo
indietro a quando si processavano animali, suicidi o corpi inanimati e di come
questa nuova fattispecie servirebbe esclusivamente come mera rassicurazione
dell'opinione pubblica200. Altra dottrina ha sottolineato come il CMCHA 2007
occupi «an uneasy no man's land between the identification and culture (or
system) approaches» ovvero una terra di nessuno a metà tra la vecchia
identification theory e i nuovi approcci olistici alla colpevolezza di impresa201.
Va, però, evidenziato che nonostante le critiche, è ragionevole credere
che il CMCHA 2007 «provides not only a new way of thinking about
corporate crime, but also a test of corporate criminal liability which could
serve as a model for other areas of corporate wrongdoing» e tra questi altri
responsabili del reato, almeno un senior individual (in luogo della “directing mind and will”
richiesta invece dall'identification theory) all'interno dell'organization: «(the) risk is
perpetuating the practical problem traditionally inherent in the identification theory: the
need to identify, among those responsabible for the harmful act, at least one senior
individual within the organization» e ancora «consequently, the new offence risks repeating
the problems of proof associated with the identification theory», infatti mentre prima
bisognava accertare la responsabilità di un individuo che potesse essere qualificato come la
“mente” della corporation, allo stesso modo è necessario capire e identificare 1) chi si trova
all'interno del senior management, in particolare chi tra questi gioca un ruolo preponderante
nel prendere le decisioni o nell'organizzazione della maggior parte o di una parte sostanziale
delle attività dell'ente 2) quando le attività organizzate da parte del senior management
costituiscono un elemento sostanziale della violazione del dovere di diligenza, di cui alla
section 1 del CMCHA 2007. Allo stesso modo si veda J.GOBERT, in J.GOBERTA.M.PASCAL, European Developments in Corporate Criminal Liability, London, 2011,
p.138 dove si legge che nella versione finale del CMCHA 2007 «one can see lingering
echoes of the identification doctrine».
199
M. ALLEN, Textbook on Criminal Law, 10th ed., 2009, p.265 criticamente afferma come
la complessità della struttura della nuova fattispecie «makes it unlikely that there will be
many more proceedings under the new law than there had been under the old regime».
200
J.R.SPENCER, citato da MONGILLO, The Corporate Manslaughter (2012), op. cit., p.
301.
201
C.WELLS, Corporate Criminal Liability in England and Wales: Past, present and future,
in M.PIETH-R. IVORY, Corporate Criminal Liability: Emergence, Convergence, and Risk,
London-NewYork, 2011, p.109.
95
wrongdoings, in primo luogo le lesioni gravi, ancora fuori dalla normativa in
questione, che come abbiamo detto si attiva esclusivamente in caso di evento
morte202.
§ 2.1.4 IL BRIBERY ACT DEL 2010
Dopo il CMCHA del 2007, un'altra nuova fattispecie societaria, quella
di “failure of commercial organizations to prevent bribery” è stata introdotta
dal Bribery Act del 2010 (entrato in vigore il 1 Luglio 2011) alla section 7203.
Successivamente il Ministero di Giustizia inglese ha pubblicato le Linee Guida
(Guidance) nella section 9 del BA 2010 circa le «procedures which relevant
commercial organizations can put into place to prevent person associated with
them for bribing» ovvero circa le modalità di implementazione dei cd.
compliance programs o modelli organizzativi204.
Il BA 2010 abroga tutti i reati in materia di corruzione previste nella
common e nella statute law disciplinando ex novo, in maniera più organica, in
un’unica norma, reati che prima risultavano sparsi in varie norme obsolete, si
tratta dei reati di corruzione attiva e passiva di un pubblico ufficiale nazionale
(section 1 e 2), nonché la corruzione attiva di un pubblico ufficiale straniero
(section 6).
202
J.GOBERT, The Corporate Manslaughter (2008), op.cit, p.109.
Da qui in poi “BA 2010”; C.WELLS, Bribery: Corporate Criminal Liability under Draft
bill 2009, in Criminal Law Review, 2009, pp. 479 ss; C. WELLS, Who's Afraid of The
Bribery Act 2010?, in Journal of Business Law, 2012, p.420; G.R. Sullivan, The Bribery Act
2010: An Overview, in Criminal Law Review, 2011, n.2, pp. 87 ss. Per la dottrina italiana
Cfr. F. GANDINI, La responsabilità delle “commercial organizations”nel Regno Unito alla
luce del Bribery Act 2010, in La responsabilità amministrativa delle società e degli enti, n.4,
2010, pp. 95 ss; C. LIMONE, Responsabilità degli enti nel sistema inglese. Corporate
Manslaughter Act 2007 e Bribery Act 2010, in www.rivista231.it; V.MONGILLO, The
Bribery Act 2010 - Corporate criminal liability for bribery offences, pp. 304 ss, in A.
FIORELLA (a cura di), Corporate Criminal Liability and Compliance Programs, Vol. I,
Liability “Ex Crimine” of Legal Entities in Member States, Jovene, 2012.
204
Le Guidance sono disponibili al sito www.justice.gov.uk/publications/bribery-act-2010guidance.
203
96
Come si è detto, oltre a questa riorganizzazione, il BA 2010 crea una nuova
fattispecie imputabile esclusivamente alle commercial organizations che
consiste nel «failure of commercial organization to prevent (public or private)
bribery committed on their behalf by associated persons»205.
Questa fattispecie è la prima, e al momento l'unica, ad essere stata
costruita appositamente in modo specifico per le commercial organization206.
La nuova fattispecie introdotta in capo alle società permette di eludere i
problemi che si incontravano nell'applicare la common law, ovvero
l'identification theory ai reati di corruzione, in primis la difficoltà di
identificare la (mens rea della) directing mind and will nelle corporation di
grandi dimensioni207.
Il problema viene qui risolto alla radice in quanto la nuova fattispecie
non prevede alcuna mens rea da parte dell'organization, cosicché essa
costituisce una nuova forma di strict liability208. Ciò non è di poco conto: per
la prima volta in un contesto di reati che solitamente richiedono l'elemento
psicologico della colpevolezza (mens rea, ovvero intention o knowledge), si
impone una forma di responsabilità che esclude la mens rea. Finora ciò era
205
Così dalla section 7 testo del BA 2010.
Con questa espressione si intende «qualsiasi ente costituito secondo il diritto inglese e che
svolga un'attività commerciale nel Regno Unito o altrove, ovvero costituito all'estero ma che
svolga il proprio business in tutto o in parte nel territorio del Regno; gli stessi criteri di
identificazione sono stabiliti poi per le cd. partnerships, particolari strutture introdotte con
un apposito atto del 1890, in gran parte assimilabili alle s.n.c. italiane; restano esclusi gli enti
che non hanno finalità lucrative e gli enti pubblici», così C.LIMONE, op.cit., p.5.
Per determinare se un ente sia o meno assoggettato alla disciplina del BA 2010, si
segue comunque il criterio de facto, per cui occorre dimostrare lo svolgimento effettivo di un
business nel regno unito, indipendentemente da quanto risulti da documenti formali. Per
esemplificare, non sarà sufficiente dunque che una società sia ammessa alla negoziazione sul
London Stock Exchange o il fatto che un ente detenga una partecipazione di controllo di una
società avente sede nel Regno Unito.
207
Per altre fattispecie di reato richiedenti mens rea e che non sono regolate da una
legislazione ad hoc come il corporate manslaughter, comprese le fattispecie di corruzione
riferite alla persone fisiche delle section 1 e 6 della norma in esame, tuttora vige il criterio di
common law dell'identification theory, con tutte le problematiche ancora irrisolte che
abbiamo visto supra: «Thus, the new form of corporate liability introduced by s.7 exists
concurrently with the previous form, that is based - in case of crimes requiring a fault
element (as are those established by ss. 1,2 and 6) - on the common law criterion of
identification» così MONGILLO, The Bribery Act 2010, op.cit., (2012), p. 307.
208
Cfr. Ibidem, nota n. 10, pp. 307-308. Concorde C. LIMONE, op.cit, p. 4.
206
97
stato possibile solo in riferimento ai regulatory offences (come quelli che
concernono la salute sul luogo di lavoro, che rientrano nell' Health & Safety
Act at Work Act 1974). Secondo recente dottrina, tuttavia, questo rimarrà un
caso isolato in quanto «both bribery and health and safety offences will be
treated as sui generis»209.
Salta agli occhi, quindi, una fondamentale differenza rispetto al
CMCHA, in quanto nella section 7 del BA non risulta traccia dei tanto criticati
riferimenti al senior management (e quindi retaggi legati all'identification
theory), anzi, sotto la nuova legge una commercial organization dovrebbe
essere considerata responsabile per reati di corruzione commessi da persone
che operano nell'interesse dell'azienda «irrespective of their powers».
Circa l'autore materiale del reato, si fa solo riferimento ad una
associated person. Come nel modello italiano210, l'imputazione dell'ente
richiede la commissione di un reato di corruzione da parte di una persona,
detta nella norma anglosassone associated person, che abbia con l'ente una
relazione qualificata, preesistente alla commissione del reato. Solo la condotta
della associated person è idonea a far scattare la responsabilità dell'ente. La
section 8 definisce associated person la persona che svolge un servizio per
nome e per conto della commercial organization, essendo irrilevante quale sia
la veste o la qualità nella quale tale servizio viene svolto. Differentemente dal
209
C. WELLS, Corporate Criminal Liability in England and Wales: Past, present, and
future, in M.PIETH - R. IVORY (a cura di), Corporate Criminal Liability: Emergence,
Convergence, and Risk, London-New York, 2011, pp.91.
210
Prima facie potrebbe sembrare che la section 7 del Bribery Act somigli molto al nostro
d.lgs. 231/2001. È bene sottolineare però, per chiarezza, che il BA 2010 non rappresenta
un'ipotesi generale di responsabilità penale degli enti derivante dalla commissione di un
reato nel loro interesse o a loro vantaggio. Esso rappresenta piuttosto una forma di
responsabilità ad hoc, speciale, applicabile solo quando venga in considerazione la
commissione di uno dei reati di corruzione descritti alle section 1 (corruzione attiva di un
pubblico ufficiale nazionale) e 6 (corruzione attiva di un pubblico ufficiale straniero). In tutti
gli altri casi, troveranno applicazione le regole generali in materia di responsabilità penale
degli enti, come previste dalla common law e dalla statute law. Inoltre la natura della
responsabilità degli enti nel BA è dichiaratamente penale, mentre quella italiana è, almeno
sulla carta, classificata come amministrativa.
98
modello italiano (ma anche differentemente dal CMCHA 2007), nessun rilievo
viene attribuito alla distinzione tra posizione apicale e subordinata211.
Per stabilire se una persona possa ritenersi una associated person di una
commercial organization si valuta la situazione di fatto esistente tra la persona
e l'ente, senza fermarsi alla natura del rapporto. Il criterio non è quello
formale, ma quello fattuale di effettività e funzionalità, con un'importante
eccezione: nel caso in cui la persona sia dipendente dell'ente si presume, salva
prova contraria, il possesso della qualità di associated person.
La section 7 del BA 2010 prevede anche un altro meccanismo usato
spesso per i regulatory offences, ovvero la defence costituita dalla due
diligence. Per questo motivo, sarebbe in realtà, più accurato classificare il
reato in esame di failure of commercial organization to prevent bribery sotto
la categoria degli hybrid offence212.
Ancora, secondo autorevole dottrina, la struttura della corporate
responsibility della section 7, seppur non classificata formalmente come tale,
sarebbe una forma di organizational complicity (accomplice liability o
responsabilità concorsuale) nel reato commesso da una associated person
nell'interesse della corporation213.
Come nel modello italiano, quindi, la due diligence defense è attuata
attraverso la dimostrazione da parte dell'organization di aver implementato,
prima della consumazione del reato, dei modelli di organizzazione, qui definiti
211
Ai fini della disposizione in esame, un dipendente, un agente o un sussidiario della
società, ma anche un fornitore, un azionista, un partecipante ad una joint venture può
costituire una associated person, ovvero essere autore materiale del reato da cui deriva la
responsabilità dell'ente.
212
Di questo avviso MONGILLO, The Bribery Act 2010, op.cit, p.308; circa il meccanismo
della due diligence come tipico dei regulatory offences si veda lo stato dell'arte tracciato
dalla Law Commission, che ben analizza, in generale, tutti i criteri di imputazione utilizzati
nel Regno Unito in questo contesto: LAW COMMISSION, Criminal Liability in regulatory
Context, A Consultation Paper, n. 195, 2010, pp. 107-109, disponibile anche online
www.lawcommission.justice.gov.uk. Tale documento definisce «individually tailored
solutions» il CMCHA 2007 e il BA 2010 nel panorama dei criteri di imputazione.
213
J. GOBERT, Squaring the circle. The relationship between individual and organizational
fault, in J. GOBERT - A.M. PASCAL (a cura di), European Developments in Corporate
Criminal liability, London, 2011, p.155.
99
«adequate
procedures»
che
l'ente
può
(e
non
deve)
adottare
preventivamente214.
Sempre come nel sistema italiano, la responsabilità dell'ente nasce da
un'omissione, una mancanza rimproverabile all'ente, detta failure, ovvero la
mancata adozione delle procedure adeguate per prevenire la commissione di
atti di corruzione215, da parte dell'associated person, nell'interesse o a
vantaggio dell'ente. Nel caso in cui si accerti che l'ente non si sia limitato ad
una omissione, ma abbia partecipato attivamente alla corruzione, verranno in
considerazione le ipotesi di corruzione attiva di un pubblico ufficiale previste
dalle section 1 e 6 del BA 2010.
Il BA 2010 nulla stabilisce circa il contenuto minimo delle procedures,
né dà indicazioni sulla loro implementazione, limitandosi a stabilire tre
principi generali che devono essere rispettati affinché la defence e quindi le
procedure diligentemente attuate esulino l'ente dalla responsabilità: a) le
procedures devono essere adottate prima della commissione del reato b) le
procedures devono essere finalizzate a prevenire specificamente il reato posto
in essere dalla associated person c) le procedure devono essere adeguate,
prevedendo strumenti di prevenzione proporzionati e calibrati rispetto ai reati
che ne sono oggetto e alle dimensioni, nonché alla natura, del business
esercitato.
Data quindi la discrezionalità conseguente alla vaghezza del testo del
BA 2010 relativamente ai modelli di compliance, la section 9 ha previsto in
capo al Ministero della Giustizia inglese il dovere di pubblicare le Linee Guida
214
Sembra che l'adozione delle cd. adequate procedures non sia un obbligo, quanto piuttosto
un onere, costituendo la condizione necessaria, ma non sufficiente, per invocare
l'applicazione della defence. L'onere della prova della defence incombe sulla commercial
organization, e non sull'accusa.
215
Precisamente «la responsabilità penale della commercial organization sussiste solo se una
sua associated person corrompa un'altra persona al fine di ottenere o mantenere un business
per la prima, ovvero, di ottenere o mantenere un vantaggio nella condotta di un business per
la prima». L'elemento oggettivo del reato sussiste solo se la associated person è colpevole di
uno dei reati di corruzione di cui alle section 1 e 6 del BA 2010. La responsabilità della
commercial organization è autonoma e questa risponde anche nel caso in cui la associated
person non sia stata perseguita per il reato commesso. Così, GANDINI, op.cit., p. 97.
100
(cd. Guidance) in merito. Queste sono state pubblicate il 30 Marzo 2011, non
hanno natura prescrittiva e vincolante, ma fungono da mero orientamento per
la concretizzazione dell'obiettivo ultimo, ovvero la formazione di una diffusa
cultura aziendale che condanni e contrasti la corruzione.
Quanto al regime sanzionatorio, la section 11, sottosezione 3 del BA
2010 prevede l'imposizione di sanzioni pecuniarie. Non sono previste sanzioni
interdittive, accessorie o di altra natura.
§ 2.1.5 CONCLUSIONI
Abbiamo visto nell'esperienza storica inglese tre diverse teorie di
attribuzione della responsabilità penale agli enti: il modello vicario del
respondeat superior, quello dell'identificazione, entrambi appartenenti alle
teorie di imputazione antropomorfe o cd. derivative theories ed infine il
modello più olistico del management failure, che, nella nuova interpretazione
della Law Commission216, per alcuni aspetti, si avvicina alla teoria della
aggregated culpability americana217. Il primo modello è ora impiegato per le
regulatory offences, mentre il secondo per tutti gli altri reati richiedenti mens
rea, in cui l'evento sia stato causato da un apicale. L' ultimo modello è previsto
216
Consultation paper n. 195 sullo stato dell'arte della Law Commission circa la criminal
liability societaria, 2010, www.lawcommission.justice.gov.uk.
217
GANDINI, op.cit., p.137, classifica gli stessi tre criteri con diverse “etichette”: 1)
responsabilità vicaria 2) responsabilità non vicaria 3) responsabilità stabilità direttamente da
una statute law (i.e. il CMCHA 2007 o il BA 2010); MONGILLO, Necessità e caso
nell'allocazione della responsabilità da reato tra individui ed enti collettivi considerazioni
alla luce dell'incontro tra società ferroviaria e giudice penale nell'Europa del XIX secolo, in
Riv. it. dir. proc. pen., fasc. 3, 2014, pp.1304-1305, divide tra modelli derivativi, modelli
olistici e modelli ibridi: per i primi la responsabilità dell'ente discende dal reato commesso
dalla persona fisica in virtù di un mero vincolo oggettivo di ascrizione, i secondi fondano la
responsabilità corporativa su requisiti del tutto sganciati da un fatto-reato individuale, e
modelli ibridi che innestano su tale fatto un elemento di colpa organizzativa propria della
societas. L'Autore fa notare come le concezioni olistiche si contrappongano nettamente
all'individualismo metodologico di cui è impregnato il diritto penale tradizionale, si cerca
quindi «una più razionale allocazione della responsabilità tra i due coprotagonisti
dell'odierno theatrum poenale, che sia in grado di evitare eccesso di automatismi punitivi sia
in capo alla persona giuridica, specie nel campo della responsabilità dolosa, che nei
confronti della persona fisica, specie nel campo della responsabilità colposa».
101
ad hoc da una statute law esclusivamente per una fattispecie di reato societario
disciplinata dalla stessa norma. Quest'ultimo alloca la colpa proprio nell’ente,
nelle sue procedure e/o nelle politiche adottate dall'impresa, slegando
totalmente il rimprovero dalla colpevolezza individuale. Mentre i primi due
modelli hanno in comune il fatto di cercare di rapportare la colpa dell'ente a
quella di un individuo-persona, sono quindi forme di attribuzione derivative
della responsabilità (cd. derivative theories o antropomorfiche), il terzo
criterio, al contrario, sfrutta le differenze che esistono tra una persona fisica e
una persona giuridica. Quest'ultimo nuovo criterio di imputazione fa parte
delle cd. holistic theories218 e prevede che la persona giuridica sia trattata
come un'entità organica a sé stante, la cui “mente” non è più una persona in
carne ed ossa, ma è rappresentata dalle politiche che adotta e promuove,
queste policy riflettono il cd. corporate ethos219 (cultura di impresa) e quando
portano alla commissione di un delitto, la corporation dovrebbe venire
responsabilizzata non in modo vicario, ma direttamente. La corporation,
quindi, dovrebbe essere responsabile per aver in qualche modo permesso,
autorizzato o incentivato la commissione di un reato attraverso le proprie
policy o la propria cultura aziendale.
La Law Commission, nel delineare lo stato dell'arte circa le teorie di
imputazione della responsabilità penale in capo agli enti, non incoraggia
esplicitamente ad intraprendere la direzione delle teorie olistiche, ma
sconsiglia, in mancanza di indicazioni legislative circa i criteri di imputazione
218
Fa parte delle teorie olistiche di imputazione anche il criterio statunitense della
colpevolezza cumulativa o aggregata (aggregated culpability) altrimenti detto criterio della
collective knowledge (se l'illecito societario è considerato colposo) o del collective intent (se
l'illecito societario è considerato doloso) elaborato in occasione del caso U.S. v. Bank of New
England, 821 F.2d 844 (1st Cir. 1987). Con le due pronunce relative alla tragedia di
Zeebrugge (R v. H.M.Coroner for East Kent, ex parte Spooner [1989] 88 Cr. App. R. 10;
P&O European Ferries (Dover) Ltd. [1991] 93 Cr App R 72), al contrario, il Regno Unito
rifiutò il criterio della colpevolezza cumulativa in favore di un allargamento delle maglie del
criterio dell'identificazione, con il caso Meridian, salvo tornare sui suoi passi in seguito, ma
esclusivamente per la fattispecie di corporate manslaughter, disciplinato da una legislazione
ad hoc .
219
Studiato già da tempo nella dottrina americana, in particolare si veda il contributo di P.H.
BUCY, Corporate Ethos: a standard for imposing corporate criminal liability, in Minn. L.
R., 1991, p.1121.
102
su cui fondare la responsabilità, di applicare le teorie derivative e specialmente
l'identification theory, piuttosto suggerisce di basarsi sull'interpretazione dello
statuto della corporation220. Inoltre, l'insoddisfazione dovuta ai regimi a
responsabilità oggettiva (cd. strict liability) ha spinto la Law Comission a
varare un Progetto di riforma volto ad escludere la punibilità dell'ente nelle
ipotesi di strict liability221. Nello specifico, in questo documento, la Law
Commission suggerisce l'introduzione in via generale, non solo nelle speciali
ipotesi in cui è già prevista (si veda CMCHA 2007 o il BA 2010) la previsione
di una causa di esclusione della punibilità, cd. defence, che consenta
all'imputato (sia persona giuridica che persona fisica) di dimostrare di aver
usato tutta la diligenza dovuta (cd. due diligence defence) per evitare il reato.
Tale meccanismo è analogo a quello statunitense dei compliance programs,
nonché ai modelli di organizzazione e gestione italiani ex d.lgs. 231/2001.
Anche se tale proposta di riforma, intesa a generalizzare la due diligence
defence, non ha avuto ancora seguito nel Regno Unito, offre certamente molti
spunti di riflessione sulla via intrapresa dalla dottrina e dal legislatore che,
seguendo la strada tracciata dal CMCHA 2007 e dal BA 2010, sta ampliando
l'area di graduale “personalizzazione” del rimprovero all'ente, interessando
settori sempre più rilevanti dell'attività di impresa.
§ 2.2 L'EVOLUZIONE DELLA CORPORATE CRIMINAL LIABILITY
NEGLI STATI UNITI
§ 2.2.1 Lo storico caso New York Central Hudson River Railroad apre l'era
americana della responsabilità penale degli enti §2.2.2 I criteri di imputazione
soggettivi: da una responsabilità vicaria ad una fault-based A) Critiche al
respondeat superior B) Il Model Penal Code C) Le teorie fault-based di
giurisprudenza e dottrina §2.2.3 Il “moto parabolico” della corporate criminal
liability statunitense: dalle Federal Sentencing Guidelines ai prosecutors'
memoranda
220
LAW COMMISSION, Consultation paper n.195, 2010, cit.: «legislation should include
specific provisions in criminal offences to indicate the basis on which companies may be
found liable, but in the absence of such provisions, the courts should treat the question of
how corporate criminal liability may be established as a matter of statutory interpretation» e
ancora la Law Commission afferma «we encourage the courts not to presume that the
identification doctrine applies when interpreting the scope of criminal offences applicable to
companies».
221
Ibidem.
103
§ 2.2.1 LO STORICO CASO “NEW YORK CENTRAL HUDSON RIVER
RAILROAD” APRE L'ERA AMERICANA DELLA RESPONSABILITÀ
PENALE DEGLI ENTI
Come abbiamo visto le Corti inglesi del XVIII secolo negavano la
responsabilità penale degli enti attraverso la motivazione che potremmo
condensare con la già citata frase di un componente della Camera dei Lords
(poi ripresa, come titolo di un articolo, da Coffee, esponente di spicco della
dottrina americana contemporanea): “no soul to damn, no body to kick”. Il
principio societas delinquere non potest viene quindi importato dall'Inghilterra
negli Stati Uniti, ma non passa molto tempo prima che le Corti americane
comincino a metterlo in discussione.
Nella prima metà dell'Ottocento si afferma la responsabilità penale
delle persone giuridiche per ipotesi bagatellari (nuisance) di tipo omissivo
(nonfeasance). L'imputazione a titolo omissivo e il carattere pubblico del
pericolo rappresentano i punti su cui si costruisce la prima bozza di
responsabilità criminale di un ente. A partire dal caso del 1834 della città di
Albany (condannata per aver omesso di depurare il bacino del fiume Hudson,
causando una situazione nociva per la salute pubblica)222, gli enti americani
sono imputabili per l'omissione nella riparazione di strade, manutenzione di
fogne, ristrutturazione di ponti pericolanti.
A partire dal caso Commonwealth v. Proprietors of New Bedfors
Bridge, che sancisce come «il comportamento antigiuridico dell'ente si
realizza sia in caso di mancata costruzione di un ponte (ipotesi omissiva) sia in
caso di costruzione di un ponte che si dimostri inadeguato alle necessità
(ipotesi attiva)», le persone giuridiche sono imputabili anche per reati
commissivi come l'usura, la vendita di bevande alcoliche a minori, l'esercizio
della professione medica senza l'autorizzazione prescritta. La Corte in
relazione alla distinzione tra fatti omissivi (imputabili all'ente) e commissivi
222
People v. Corporation of Albany, in 529 N.Y. sup. Ct., 1834.
104
(non imputabili fino a quel momento) afferma che «non c'è ragione, dunque di
perpetuare questa distinzione senza senso»223.
L'unico punto su cui le Corti statunitensi dell'Ottocento si mostrano
irremovibili sembra essere l'impossibilità per le persone giuridiche di essere
ritenute responsabili anche per reati che richiedono l'elemento psicologico
(mens rea), in particolare il dolo (intent), come per esempio i reati di falsa
testimonianza, tradimento o reati contro la vita e l'incolumità fisica. La
giustificazione è sempre la stessa: un ente non può avere intenzione malvagia,
essendo una finzione giuridica non può agire malo animo.
La celebre sentenza New York Central & Hudson River Railroad224 del
1909 segna la svolta e la caduta definitiva del dogma dell'irresponsabilità
penale delle persone giuridiche anche per quelle fattispecie caratterizzate
dall'elemento soggettivo. L'impresa di trasporti ferroviari di New York e il suo
amministratore delegato, al fine di acquisire il monopolio del trasporto dello
zucchero, avevano concesso alle aziende produttrici di zucchero sconti
notevoli sulle tariffe fissate dalla legge per il trasporto di tali merci, in spregio
alle disposizioni antitrust contenute nell'Elkins Act del 1903 in materia di
passaggio di merci tra gli Stati dell'Unione. Tale legge, tra le altre cose,
prevedeva che le condotte realizzate da un rappresentante per conto delle
società dovevano essere attribuite all'ente in quanto tale, che ne rispondeva, a
date condizioni, anche sul piano penale. Partendo da questa specifica
disposizione225 la Corte è arrivata a definire in modo perentorio, ed in via
generale, la giuridica ammissibilità nell'ordinamento statunitense della
responsabilità
penale
delle
persone
223
giuridiche.
La
Corte
utilizza
Commonwealth v. Proprietors of New Belford Bridge, in 68 Mass, 1854.
New York Central & Hudson River Railroad Co. v. United States in 212 U.D., 1909, p.
481.
225
Ovvero dalla norma dell'Elkins Act che stabilisce, come riporta la Corte «che le azioni e le
omissioni realizzate da un rappresentante che opera per conto dell'ente debbano essere
attribuite all'ente (..) che ne subirà le conseguenze penali». In sintesi in queste sentenza
storica la Corte non esita ad enfatizzare la portata di questa specifica norma che disciplina
una situazione del tutto particolare per proclamare invece il principio generale della
responsabilità penale delle persone giuridiche.
224
105
argomentazioni pragmatiche senza preoccuparsi di dare un solido fondamento
teorico alla sua decisione226, tale approccio pratico è evidente nella pronuncia,
si veda per esempio questo passaggio: «garantire la loro impunità (delle
imprese, n.d.r.) in omaggio ad una vetusta e superata dottrina che nega agli
enti collettivi la capacità di commettere reati, significa privarsi degli unici
strumenti efficaci in grado di controllare questo tipo di criminalità»227. I
giudici della pronuncia non esitano ad utilizzare in campo penale la regola
civilistica del respondeat superior, che come abbiamo detto «rappresenta una
concretizzazione dei principi che governano la vicarious liability»228, ovvero il
criterio per cui il comportamento criminoso e l'elemento soggettivo degli
organi della persona giuridica vengono imputati automaticamente all'ente
collettivo229. La regola del respondeat superior enunciata dalla Corte è stata
successivamente accolta dalle Corti federali e, quindi, fatta propria dalla
giurisprudenza di molti Stati dell'Unione, da allora in avanti la capacità penale
226
La Corte punta sull'aspetto pragmatico della decisione e pronuncia questa frase divenuta
celebre: «se per esempio quell'invisibile e impalpabile entità che noi definiamo persona
giuridica può spianare le montagne, colmare gli avvallamenti, costruire le ferrovie, e farvi
correre sopra delle locomotive, significa che ha la volontà di porre in essere queste azioni, e
può perciò comportarsi sia malvagiamente che virtuosamente». E ancora, a testimoniare il
pragmatismo della Corte: «è prassi consolidata in diritto civile che le imprese rispondono per
atti illeciti commessi dai loro rappresentanti che agiscono nell'ambito del mandato
conferitogli (...). È vero che vi sono dei reati che per la loro natura non possono essere
realizzati da un'impresa (...) ma vi è anche un gran numero di fattispecie per cui non esistono
buone ragioni che mandino le persone giuridiche impunite (...). Non esistono ostacoli nella
legge né motivi di ordine pubblico che impediscano che un ente collettivo che può agire solo
per mezzo dei suoi agenti sia penalmente sanzionato; (...) la coscienza e la volontà dei
soggetti cui l'impresa ha conferito il mandato di agire (...) sono quelli della persona giuridica
per conto della quale costoro agiscono».
227
A questo proposito si noti ancora quest'altra affermazione celebre della Corte, sempre del
medesimo caso New York Central: «la legge non può chiudere gli occhi di fronte all'evidenza
che la maggior parte delle transazioni nel mondo degli affari sono realizzate dalle imprese»,
si veda in senso critico all'eccessivo pragmatismo privo di reali basi dottrinali J.C. COFFEE,
Beyond the shut-eyed sentry: toward a theoretical view of corporate misconduct and an
effective legal response», Virginia Law Review, n. 63, 1977, pp. 1099-1278.
228
D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit., p. 27,
l'Autore riprende le parole di DE MAGLIE, L'etica e il mercato, op. cit., p. 15.
229
La Corte afferma letteralmente: «gli obiettivi, gli scopi e la volontà di costoro (gli agenti e
rappresentanti tramite cui agisce, n.d.r.) devono essere considerati quelli dell'ente per conto
del quale le operazioni vengono realizzate».
106
degli enti è divenuta nell'ordinamento statunitense una consistente realtà
giudiziaria.
Tale criterio è fortemente criticabile, esso non dà alcun rilievo al fatto
che l'impresa si sia organizzata, con maggiore o minore grado di adeguatezza,
per prevenire il verificarsi di attività illecite al suo interno. Un simile sistema
di responsabilità criminale societaria, così rigido e pervasivo (in quanto
applicabile potenzialmente a qualsiasi fattispecie criminosa), è bersaglio di chi
ne ha rilevato (essendo esso ancora il criterio d'imputazione predominante
come si vedrà) non solo l'inconciliabilità con gli scopi di deterrenza e generalprevenzione propri del diritto penale, ma anche con con una visione retributiva
della pena230.
§ 2.2.2 I CRITERI DI IMPUTAZIONE SOGGETTIVI: DA UNA
RESPONSABILITÀ VICARIA AD UNA FAULT-BASED
A) CRITICHE AL RESPONDEAT SUPERIOR
Abbiamo già descritto (cap. I, § 2.1.1) in che cosa consiste il criterio del
respondeat superior, è la stessa Corte della sentenza New York Central
& Hudson River Raiload che ne indica i requisiti che abbiamo
esaminato nel paragrafo precedente: a) la commissione del reato
230
SS. BEALE - A.G. SAFWAT, What developments in Western Europe tell us about
American critiques of corporate criminal liability, in Buffalo Criminal Review, 2005, p. 89
ss.; V.S. KHANNA, Is the notion of corporate fault a faulty notion? The case of corporate
men rea, in Boston University Law Review, vol. 79, 1999, p. 335 ss. Secondo KHANNA,
nessuna delle funzioni tradizionalmente affidate alla pena può giungere a compimento
qualora venga irrogata ad una società che pure abbia predisposto, prima della commissione
del reato, ogni misura ragionevole per prevenirne i rischi. In una simile ipotesi, infatti, non si
ravvisano esigenze di deterrenza, in quanto l'ente aveva già spontaneamente adottato
procedure interne e compliance programs. Per le stesse ragioni non risulta nemmeno
possibile ipotizzare una funzione general-preventiva. Anzi, a ben vedere un'eventuale
condanna equivarrebbe a trasmettere alle imprese, dotate di adeguati compliance program,
un messaggio opposto, ossia che nessuna buona azione da parte loro potrà scongiurare la
punizione. Infine, nemmeno può ipotizzarsi una funzione retributiva della pena inflitta
all'ente secondo il meccanismo del respondeat superior, dal momento che, se non può
esigersi l'adozione di misure più severe di quelle eluse dall'autore del reato, nessun addebito
merita di essere mosso all'ente.
107
(qualunque reato, anche se richiedente mens rea) da parte di un agent
dell'ente collettivo b) il fatto deve essere commesso nell'esercizio delle
funzioni che sono conferite all'agent (scope of empoyment) c) infine, il
fatto deve essere commesso con lo scopo di avvantaggiare l'ente (intent
to benefit the corporation)231.
Vediamone ora le principali critiche232.
La caratteristica che più di tutte rende controversa l'applicazione del
respondeat superior nel contesto penale è l'automatismo con cui questo
criterio consente di trasferire sull'organizzazione la condotta e
l'elemento psicologico del soggetto agente in nome e per conto
dell'ente; ciò significa che la condotta del soggetto che agisce su
mandato dell'ente si traduce sul piano oggettivo in una condotta propria
della persona giuridica, mentre, sul piano soggettivo, l'elemento
psicologico (dolo o colpa) del primo diventa l'elemento psicologico con
231
Si rinvia a cap. I, § 2.2.1 per l'approfondimento interpretativo dei tre requisiti del
respondeat superior. In estrema sintesi: a) il concetto di agent da intendersi in senso ampio,
sia come apicale che subordinato, b)la discutibile irrilevanza che nella prassi ha assunto il
concetto di scope of employment, talmente ampliato (ormai implicherebbe poco più del fatto
che il reato si sia realizzato mentre il soggetto stava svolgendo un'attività collegabile con il
lavoro affidatogli dalla persona giuridica) da essere stato vanificato e ridotto a simulacro, ed
infine c) la precisazione che non occorre che il vantaggio sia effettivamente conseguito
dall'ente, come non occorre che la condotta sia attuata esclusivamente allo scopo di recare un
profitto all'ente, è sufficiente che la condotta criminosa sia posta in essere anche (almeno in
parte) nell'interesse e al fine di beneficiare l'ente.
232
Per un approfondimento circa le critiche al criterio del respondeat superior si vedano: A.
PINTO - M. EVANS, Corporate criminal liability, Sweet & Maxwell; 2nd edition, 2008; B.
FISSE, Reconstructing corporate criminal law: deterrence, retribution, fault, sanction, 56 S.
Cal. L. Rev. 1141 (1982-1983); K.T. ABIKOFF, Corporate governance, Avoiding and
Responding to misconduct, Law Journal Press, 2008, § 15-1 ss; G.S.MOOHR, Of Bad Apples
and Bad Trees: Considering Fault-Based Criminal Liability for Complicit Corporations,
American Criminal Law Review, Vol. 44, 2007; J. MOORE, Corporate culpability under the
Federal Sentencing Guidelines, 34 Ariz. Law. Review, 759 (1992) che afferma: «by
imputing only the mens rea of the criminal, the imputed culpability theory fails to distinguish
between offenses committed with the partecipation or encouragement of upper management,
pursuant to corporate policies and procedures, and those committed by ‘rogue employees’
whose acts violated company policy or could not have been prevented by careful
supervision»; in accordo J.McPHEE, Corporate criminal liability and punishment in the 21st
century: departures from constitutional and criminal norms, and anomalies in practice, Q11 in American bar Association, Criminal Justice Section, and Center for continuing legal
education, White collar crime (2005).
108
cui agisce la seconda. Questo automatismo sul versante soggettivo che
pone l'attenzione esclusivamente sull'elemento psicologico del soggetto
agente, così trascurando ogni analisi in merito alla colpevolezza della
persona giuridica, è stato oggetto di alcune critiche da parte della
dottrina nordamericana233. Tale dottrina, in particolare, ha sottolineato
l'esigenza di elaborare un autonomo concetto di colpevolezza della
persona giuridica che in qualche modo filtri il passaggio della
responsabilità penale della persona fisica alla societas. Esigenza questa
che è stata avvertita, come vedremo più avanti, dalla United States
Sentecing Commission che nelle Federal Sentencing Guidelines del
1991, ha esplicitamente fatto riferimento alla colpevolezza di impresa
(culpability)234.
Occorre evidenziare che il criterio in esame «finisce per rendere
potenzialmente responsabile la corporation per la condotta criminale
dei suoi agents a prescindere dalla posizione che questi occupino nella
scala gerarchica e persino se abbiano commesso il reato contro la policy
e le indicazioni della società»235. Infatti, il criterio in esame è
considerato da una parte “overinclusive” in quanto non fa distinzioni tra
un reato originato da un difetto di organizzazione e quello di un reato
commesso da una “black sheep” la cui condotta è contraria alle policy
aziendali ed elude i controlli preventivi; dall'altra parte il respondeat
233
P. BUCY, Corporate Ethos: a standard for imposing corporate criminal liability, in
Minn. Law review, 1991, pp. 1103 ss.
234
Si veda infra in questo capitolo § 2.2.3.
235
F. CENTONZE, La co-regolamentazione della criminalità d'impresa nel d.lgs. 231/2001.
Il problema dell'importazione dei “compliance programs” nell'ordinamento italiano, in riv.
Analisi giuridica dell'economia, fascicolo monografico, n. 2, 2009, N. ABRIANI, G. MEO,
G. PRESTI (a cura di), Società e modello 231: ma che colpa abbiamo noi?p. 226. Si riporta
a questo proposito uno stralcio di un documento ufficiale e tuttora attuale del Governo
statunitense: P. DESIO, Deputy General Counsel, United State Sentecing Commission, An
Overview of the Organizational Guidelines (disponibile online www.ussc.gov): «Criminal
liability can attach to an organization whenever an employee of the organization commits an
act within the apparent scope of his or her employment, even if the employee acted directly
contrary to company policy and instructions. An entire organization, despite its best efforts
to prevent wrongdoing in its ranks, can still be held criminally liable for any of its
employees' illegal actions».
109
superior è anche “underinclusive” poiché è un meccanismo che non
può essere comunque innescato: in primo luogo se la persona fisica
agente che commette materialmente il reato non è identificata (anche
nell'evidenza che sia stato proprio l'ente ad avere incentivato la sua
condotta, fornendogli istruzioni, o permettendo e tollerando la sua
l'attività criminale); in secondo luogo nel caso in cui la persona fisica
agente non sia incriminabile secondo la legge236.
B) IL MODEL PENAL CODE
Il respondeat superior costituisce senza dubbio ancora il criterio
dominante negli Stati Uniti, ma non è l'unico a cui si può far
riferimento
per
imputare
penalmente
una
persona
giuridica.
L'alternativa è rappresentata dalla Section 2.07 del Model Penal Code
(MPC), adottato dall'American Law Institute nel 1962. Esso offre un
approccio tripartito:
o la corporation è responsabile per le ipotesi contravvenzionali e
per i reati previsti al di fuori del codice penale dai quali emerga
236
Cfr. anche J. MOORE, Corporate culpability under the Federal Sentencing Guidelines, in
34 Ariz Law Review, 743-762 (1992): J. Moore (fautrice della teoria strutturale di cui a
breve si dirà), afferma come il problema delle teorie vicarie e dunque non basate su un
concetto di colpevolezza propria dell'impresa, e in particolar modo il respondeat superior, è
che prendono in considerazione esclusivamente l'elemento psicologico del solo agente autore
del crimine, dimenticandosi di quello di tutti gli altri agents facenti parte della corporation.
Infatti «if corporations have ‘characters’, (....) and if corporate policies and procedures can
cause crime, the culpability of the corporate entity is likely to depend on more than the intent
of a single agent». Imputando soltanto la mens rea del soggetto agente, la teoria della
colpevolezza fallisce nel distinguere tra i reati commessi con la partecipazione o il sostegno
e l'incentivo dell'upper management e seguendo policy aziendali, rispetto a quelli commessi
da ‘rogue employees’ i cui atti violano le policy aziendali o che non si sarebbero potuti
prevedere neppure con un'attenta supervisione. Per queste ragioni, continua l'Autrice, il
respondeat superior è risultato essere “overinclusive”, in quanto «it labels corporations
‘culpable’ even when they do not have a “bad” character, that is, even when corporate
policies and procedures bear no causal relationship to the crime».
Si precisa inoltre che il criterio del respondeat superior richiede che l'agent abbia
commesso il reato con l'intento (mens rea) di farlo: «the corporation could not be convicted
if the agent committed the actus reus lacked the requisite intent», così J.C. COFFEE,
Corporate criminal responsibility, in Enciclopedia of Crime and Justice, I, New York, 1983,
253-255.
110
in modo inconfutabile l'intento del legislatore di colpire le
persone giuridiche; il comportamento dell'agente si realizza in
nome e per conto dell'impresa e nell'esercizio del mandato
conferitogli237. Come è stato sottolineato, si tratta ancora di
un'applicazione del principio della vicarious liability, ma «la
forza espansiva della formula del respondeat superior trova qui
il preciso limite della ‘due diligence defense’»238, ciò significa
che la persona giuridica può evitare l'imputazione qualora dia
prove assolutamente evidenti che l'alto dirigente che ha poteri di
supervisione sull'attività da cui è scaturito il reato ha usato il
dovere di diligenza per prevenire la commissione del reato239;
o l'impresa è responsabile se il reato “si sostanzia in un'omissione
di tenere uno specifico comportamento doveroso o di svolgere
un'attività positiva imposta alle persone giuridiche dalla
legge”240. Il concetto di “specific duty” (specifici comportamenti
doverosi) oggetto di omissione si riferisce a situazioni particolari
come il dovere di registrare un verbale per conto di un'agenzia
amministrativa e non riguarda le obbligazioni che richiedono un
dovere generalizzato di comportarsi con ragionevole diligenza.
Questa seconda categoria prevista dal MPC rappresenta una
chiara ipotesi di responsabilità oggettiva (strict liability) 241;
237
Si veda il testo della Section 2.07 (1) del MPC, alla lettera a): una persona giuridica può
essere condannata per la commissione di un reato se “si tratta di contravvenzione, o il reato è
definito da una disposizione diversa dal codice in cui il proposito legislativo di imporre la
responsabilità alle persone giuridiche emerge palesemente e la condotta è realizzata da
un'agente dell'impresa che agisce per conto della stessa, nello svolgimento del mandato
conferitogli, a meno che la disposizione di legge che descrive il reato non dia indicazioni sui
soggetti per la cui condotta l'impresa è responsabile o le circostanze in base alle quali essa è
responsabile”
238
DE MAGLIE, L'etica e il mercato, op. cit., p. 24.
239
In questo senso si veda letteralmente il testo della norma alla Section 2.07 (5).
240
Così la Section 2.07 (1) lett. b) del MPC.
241
Si precisa che c'è differenza tra strict liability e vicarious liability: «with strict liability,
there must be a showing that the defendant personally engaged in the necessary acts or
omissions; only the requirement of mental fault is dispensed with altogether. By contrast,
111
o infine l'ente è responsabile per tutti i reati, cioè per fattispecie
previste anche dal MPC, a condizione che “la commissione del
reato è stata autorizzata, richiesta, ordinata, manifestata, o
colposamente tollerata dalla cerchia dei vertici o da un altro
dirigente che ha agito per conto della persona giuridica e
nell'esercizio delle sue funzioni”242. L'acquiescenza di un
manager di alto livello gerarchico nell'azienda, portavoce delle
strategie di politica aziendale, può quindi essere considerata una
manifestazione di volontà dell'ente stesso. Questo ultimo punto è
fondamentale perché con esso il MPC tenta di soffocare e ridurre
la forza espansiva della regola del respondeat superior per
ipotesi che non siano riconducibili a strict liability: per i reati
qualificati dall'elemento psicologico (mens rea), l'attribuzione
della responsabilità all'impresa si realizza soltanto se il
with vicarious liability, it is the need for a personal actus reus that is dispensed with and
there remains the need for a mental fault on the part of the employee», quindi mentre la
strict liability (responsabilità oggettiva) richiede l'azione o l'omissione consumata
“personally”dall'imputato, ma non l'elemento psicologico, al contrario la responsabilità
vicaria (ovvero indiretta) richiede la colpevolezza in capo all'employee, ma non è necessario
un personal actus reus dell'ente. Così J.R. O'SULLIVAN, Federal White Collar Crime,
Thomson-West, 2007, p. 187.
242
Così la Section 2.07 (1) lett. c) del MPC. L'elemento psicologico (intent, knowledge or
recklessness) è attribuito alla corporation «che espressamente, tacitamente o implicitamente
autorizza o permette la commissione del reato». In particolare la legge mette in chiaro che si
intende data l'autorizzazione o il permesso da parte dell'ente quando:
o il board of directors o un high managerial agent del corpo societario «intentionally,
knowingly or recklessly carried out the relevant conduct, or espressly, tacitly or
implied authorised or permitted the commission of the offence», nel caso in cui si
tratti non di tutto il board, ma solo del manager se l'ente prova di aver esercitato la
necessaria due diligence per prevenire la condotta, l'autorizzazione o il permesso,
non sarà imputabile).
o esiste una corporate culture che incita, incentiva o semplicemente tollera la
propensione al crimine (per cultura di impresa si intende «an attitude, policy, rule,
course of conduct or practice existing within the body corproate generally or in the
part of the body corporate in which the relevant activities take place», così N.
SELVAGGI, Criminal liability of corporations and compliance programs in the
U.S. System, in A. FIORELLA, Corporate Criminal Liability and Compliance
Programs, Vol I (Liability 'Ex Crimine' of Legal Entities in Member States), Jovene
Editore, Napoli, 2012, p. 614.
o l'ente fallisce nel creare e attuare politiche, procedure e soprattutto una cultura di
impresa che favorisca la compliance e l'etica societaria.
112
comportamento antigiuridico costituisce l'emanazione diretta e
inconfutabile del “cervello dell'organizzazione” e quindi è
riconducibile alla sua politica di gestione aziendale.
Tuttavia, va osservato che il MPC non ha ricevuto molto
seguito ed applicazione in giurisprudenza243. Le critiche si
concentrano soprattutto sull'ultima ipotesi - la Section 2.07 (1)
lett. c) del MPC - che viene ritenuta priva di alcuna funzione
deterrente preventiva: invocando questa norma del MPC gli enti
potrebbero facilmente sottrarsi alla condanna penale, in quando
la responsabilità dell'impresa si appiattisce esclusivamente sulle
decisioni della direzione aziendale, senza l'autorizzazione
manageriale o semplicemente la sua comprovata tolleranza al
crimine, l'ente è salvo. Questo crea un incentivo a far sì che “le
cattive notizie” non giungano formalmente ai “piani alti”,
aumentando l'utilizzo della delega, primario strumento di
elusione della regola codicistica in esame, che consiste
nell'investire i dipendenti subordinati dei pieni poteri decisionali
circa le attività ad alto rischio criminale per l'ente.
Ancora, il criterio del MPC crea disparità tra piccole e
grandi imprese: queste ultime grazie alla fitta divisione interna
dei compiti possono certamente evitare più facilmente una
condanna rispetto ad una piccola dove non esiste una
differenziazione netta dei ruoli e in cui le decisioni operative
243
Della ridotta casistica che applica il MPC si possono citare: State v. Adjustment
Department Credit Bureau Inc., in 483, F. 2nd, 1971, p. 691 (un ente viene prosciolto, dopo
essere stato condannato in primo grado, dall'accusa di estorsione, in quanto “il
comportamento estorsivo non può essere imputato all'organizzazione senza aver stabilito che
il soggetto agente rivestiva un ruolo verticistico, o che un altro dirigente ha autorizzato un
atto criminoso”) e People v. Warner-Lambert Co., in 414 N.E. 2nd, 1980, p. 660 (in cui la
Warner-Lambert Company, produttrice di gomme da masticare, imputata di omicidio
colposo a seguito della morte di sei dipendenti dovuta ad un'esplosione all'interno della
fabbrica, viene prosciolta poiché il giudice non ravvisa “a carico dei massimi dirigenti (...)
gli estremi di una condotta negligente o colposa (...): la morte degli operai si è realizzata per
causa non previste ed imprevedibili”.
113
immediate (quelle prese giorno per giorno) sono affidate agli
impiegati inferiori, così come quelle di pianificazione e di lungo
periodo. Il risultato è che in una grande azienda, dove le
posizioni verticistiche non hanno niente a che vedere con la
gestione operativa delle attività (oppure dove si fa un uso tattico
della delega, trasferendo ai centri decisionali più bassi le attività
più rischiose della società) sarà lampante che qualora si verifichi
un reato, la condotta materiale incriminata provenga da un
impiegato di basso grado, o nella peggiore delle ipotesi per
l'ente, non si riuscirà a capire se l'autore della condotta offensiva
sia realmente parte dei vertici aziendali. In questo modo, stando
alla norma del MPC in esame, l'ente sarà salvo.
Infine, il modello codicistico condivide una critica con
quello del respondeat superior entrambi mancano di conferire
attenzione al concetto di colpevolezza proprio della persona
giuridica: entrambi costituiscono una «imputazione automatica»,
ovvero che viene trasferita automaticamente da una persona
fisica all'ente. In altre parole, questi due criteri sono stati oggetto
di critica in quanto ritenuti carenti nell'analisi della colpevolezza
della persona giuridica, poiché fanno ricadere automaticamente
sull'organizzazione l'elemento psicologico della persona fisica
che agisce su mandato dell'ente: in modo più ampio il
respondeat superior; e in modo più (forse troppo) ristretto il
MPC. Nel caso del respondeat superior «qualunque persona
giuridica, onesta o disonesta, buona o cattiva può subire una
condanna se si prova che un impiegato qualunque ha tenuto un
comportamento
criminoso»,
per
questo
tale
criterio
di
imputazione è detto criticamente “overinclusive”, l'agente può
essere chiunque all'interno della gerarchia aziendale, non così
per il MPC dove, al contrario occorre che l'agent sia un
114
“megadirigente”244. Nel caso del MPC non dovrà trattarsi di un
«impiegato qualunque», ma di un dirigente, appare allora
concreto il rischio che «un'organizzazione veda accollarsi la
responsabilità penale per atti voluti da un high manager anche se
questi ha agito contro le linee di politica economica decise
dall'impresa»245.
C)
LE
TEORIE
FAULT-BASED
DI
GIURISPRUDENZA
E
DOTTRINA
L'esito delle critiche mosse ai due modelli imputativi precedenti ha
portato la dottrina a cercare di elaborare per la prima volta una nozione
di colpevolezza propria della persona giuridica, ovvero un rimprovero
personale all'ente, non più vicario e indiretto246. Questo passaggio ha
un'importanza eccezionale nella rapida evoluzione della corporate
criminal liability statunitense, i contributi per raggiungerlo sono arrivati
sia dalla giurisprudenza che dalla dottrina.
Cominciamo analizzando la giurisprudenza. Dopo la sentenza
storica del 1909, sempre meno Corti applicavano i criteri di respondeat
superior e MPC, alcune sentenze cominciarono invece a basare
l'imputazione criminale su un meccanismo cd. del consenso o
ratification. Il ragionamento era il seguente: quando l'impresa viola in
modo persistente ed abituale la legge penale, significa che è carente al
suo interno di strutture di controllo e di supervisione dirette ad
244
L'espressione è di D'ACRI, La responsabilità delle persone giuridiche derivante da reato,
op. cit., p. 134.
245
Per queste interessanti valutazioni critiche circa i criteri del respondeat superior e del
MPC si veda P. BUCY, Corporate Ethos: a standard for imposing corporate criminal
liability, in Minn. Law review, 1991, p. 1103 pp. 1104, 1105. L'autrice pone le basi teoriche
per il nuovo concetto di colpevolezza propria dell'ente negli Stati Uniti, come si vedrà a
breve infra.
246
In prospettiva storica, le teorie della “riprovevolezza d'impresa”, note anche come “teorie
olistiche”, costituiscono quelle di più recente concezione, frutto di un'evoluzione dei sistemi
normativi imposta dalla necessità di “personalizzare” il rimprovero mosso all'ente. Esse
corrispondono per lo più alle teorie illustrate qui di seguito, in particolare quella del
“corporate ethos” di Bucy e la teoria strutturale di Moore e quella della corporation come
accomplice (o complicit actor) di Moohr.
115
assicurare il rispetto delle leggi. La ripetizione costante nel tempo di
determinati comportamenti criminosi da parte dei rappresentanti della
persona giuridica, che agiscono su suo mandato, non può essere
imputata sul piano soggettivo esclusivamente alle persone fisiche: la
violazione abituale della legge è lo specchio di un solidificato e ben
radicato tipo di gestione degli affari; tale modus operandi è indicativo
dell'indifferenza del precetto penale, se non addirittura della volontà
consapevole dell'organizzazione di violarlo. È un ragionamento di tipo
presuntivo: dati i presupposti di abitualità e persistenza nella condotta
criminosa perpetrata da fidati dipendenti della persona giuridica, non si
può non dedurre, anzi si deve con certezza concludere, che i reati sono
stati posti in essere con l'approvazione ed il consenso della persona
giuridica247.
Una seconda tesi giurisprudenziale è quella del concetto di
colpevolezza collettiva o aggregata (collective intent or knowledge o
aggregated culpability)248 che prese le mosse da un'importante e
relativamente recente sentenza del 1987: United States v. Bank of New
England249. In questa pronuncia Bank of New England venne
condannata per aver consapevolmente e volontariamente violato le
247
Un esempio è il caso Continental Baking Company v. United States, in 281 F. 2nd, 1960,
p. 141. La Continental Baking Company (produttrice di alimenti) venne condannata per
violazione delle disposizioni antitrust previste dallo Sherman Act in quanto con continuità e
per molti anni fissò ed impose il prezzo dei prodotti alimentari in modo non competitivo. La
Corte affermò chiaramente che poiché la condotta incriminata durava da tempo ed era
direttamente collegata con gli agenti della persona giuridica si doveva ritenere che la persona
giuridica aveva autorizzato il comportamento criminoso.
248
Questa teoria include «not only collective knowledge, but also collective intent (see the
Arthur Andersen case)», così N. SELVAGGI, Criminal liability of corporations and
compliance programs in the U.S. System, op. cit., pp. 615, 616.
249
United States v. Bank of New England, 821 F.2d 844, 856, 1st Circ., 1987. Su questa
pronuncia storica si veda J. GOBERT, Corporate criminality: four models of fault, in Legal
Studies, Vol. 14, issue 3, pp. 393-410, 1994, p. 403 e ss.; E. LEDERMAN, Models for
Imposing Corporate Criminal Liability: From Adaptation and Imitation Toward aggregation
and the Search for Self-Identity, in Buffalo Criminal Law Review, n. 4, 2001, p. 663 ss., il
quale si sofferma sui problemi posti dalla aggregation theory, in particolare per quanto
concerne la “aggregability” del “knowledge element” e la “non-aggregability” dell'
“emotional element” (ivi, pag. 669 e ss.).
116
disposizioni previste in tema di circolazione monetaria250, benché non
ci fosse alcuna prova che alcuno dei suoi dipendenti avesse al momento
del fatto quella consapevolezza.
Com'è stata dunque possibile la condanna?
Nel processo si pose, quindi, il problema dell'accertamento in capo alla
Bank of New England della conoscenza (knowledge) e del dolo (intent)
richiesti
dalla
fattispecie
criminosa.
Secondo
la
teoria
della
colpevolezza cumulativa, affinché si possa ascrivere un reato ad un ente
collettivo, sarebbe sufficiente combinare tra di loro gli elementi
oggettivi (actus reus) e soggettivi (mens rea) riferibili ai membri
dell'ente medesimo: se all'esito di tale operazione, la fattispecie
criminosa risulta integrata in tutte le sue parti, si potrà giungere alla
condanna della società.
Si ravvisa quindi che la differenza tra colpevolezza d'impresa e
colpevolezza individuale è solo quantitativa, non qualitativa: il soggetto
collettivo non è considerato come un'entità a sé stante, bensì come un
«‘macroantropo’ caratterizzato da una ‘megacolpevolezza’ uguale a
quella degli individui per struttura, diversa solo per estensione»251.
Sommando tutte le consapevolezze (gli elementi psicologici) degli
impiegati della banca, il risultato è la consapevolezza della banca
stessa. Il giudice della lower Court istruì la giuria nei seguenti termini:
«voi dovete considerare la banca come un'istituzione. In quanto tale, la
sua conoscenza è la somma delle conoscenze di tutti i suoi impiegati
(...) cosicché se l'impiegato A conosce solo parzialmente la sussistenza
del presupposto dell'obbligo di segnalazione e così anche l'impiegato B
250
Precisamente si trattava di violazioni del Currency Transaction Reporting Act contestate
alla Bank of New England. Più in particolare, lo statuto obbliga gli istituti di credito a
segnalare al Ministero del Tesoro qualsiasi transazione in contanti di ammontare superiore a
diecimila dollari: nel caso di specie, il cliente della banca aveva compiuto ripetuti prelievi
dal conto corrente di una persona giuridica mediante una serie di assegni di valore inferiore a
predetto importo e presentati ogni volta ad uno sportellista diverso, la cui somma risultava,
però, superiore al limite oltre al quale per legge scatta, appunto, l'obbligo di segnalazione.
251
Così DE MAGLIE, L'etica e il mercato, op. cit., p. 354.
117
e C, dalla somma di tali conoscenze parziali deriva che la banca è
consapevole per intero della ricorrenza del presupposto stesso». E
quindi se l'impiegato A conosce un aspetto dell'operazione, B ne
conosce un altro, C ne conosce un terzo, la banca li conosce tutti.
Ancora una volta il pragmatismo e la sottostante strategia di politica
criminale è il motore della pronuncia: la Corte infatti afferma che il
modello della colpevolezza collettiva non solo appare opportuno, bensì
si rivela necessario per le imprese di grandi dimensioni in cui vige il
sistema della compartimentazione delle funzioni aziendali.
La decisione fu confermata dalla Court of Appeals la quale osservò che:
«le imprese scindono la loro conoscenza in diversi compartimenti,
scomponendo gli elementi che costituiscono gli obblighi o le operazioni
ad esse riferibili in segmenti minori. L'aggregazione di simili segmenti
costituisce
la
conoscenza
che
la
società
ha
dell'obbligo
o
dell'operazione in questione. È irrilevante se gli impiegati, ai quali sono
affidate singole fasi di un'attività, siano a conoscenza dell'operato degli
altri addetti all'esecuzione delle fasi rimanenti».
La teoria dell'aggregazione, consente di rendere certamente più agevole
l'accertamento processuale ed è funzionale con il caso in cui
l'identificazione dell'agent autore materiale della condotta sia altamente
complessa o improbabile. A questo proposito, infatti, anche autorevole
dottrina americana afferma: «nor has been necessary for the prosecutor
to identify the actual agent who committed the crime if the prosecutor
can show that some person within the corporation must have so acted.
Even more significantly, incosistent verdicts are tolerated under which
the corporation is convicted but all conceivable individual agents are
acquitted. Finally, some decisions have accepted a theory of ‘collective
knowledge’, under which no single individual had the requisite
knowledge to satisfy the intent requirement, but various individuals
within the organization possessed all the elements of such knowledge
118
collectively»252. Tuttavia, la teoria in esame si pone in rapporto di
inevitabile frizione con il carattere di non frazionabilità degli elementi
costituivi del reato (actus reus e mens rea), da riferire necessariamente
ad un unico soggetto253.
Anche la dottrina ha dato il suo contributo all'elaborazione di un
concetto di colpevolezza proprio della persona giuridica, in particolare
essa mette in relazione la struttura interna dell'impresa (per esempio la
gestione di tipo verticistico e il ruolo dei dirigenti medi), e quindi la
modalità con cui si svolgono i processi decisionali all'interno dell'ente
con la corporate culpability.
Foerschler254
evidenzia
tre
condizioni
che
debbono
essere
alternativamente provate affinché si possa parlare di colpevolezza di
organizzazione: a) che la policy seguita dalla persona giuridica abbia
come fine specifico quello di commettere reati; b) che la policy della
persona giuridica sia tratteggiata in modo tale da indurre con
ragionevole probabilità i suoi agenti alla commissione del reato (in
questo caso è chiaro il riferimento ad una filosofia di impresa che pur
non avendo l'obiettivo specifico di violare la legge è tuttavia delineata
in modo tale da incentivare e incoraggiare il comportamento
antigiuridico dei suoi rappresentanti); c) che la persona giuridica ha
mostrato acquiescienza nei confronti della condotta criminosa tenuta
dai suoi agenti.
252
J.C. COFFEE, Corporate Criminal Responsability, in Encyclopedia of Crime & Justice,
S. Kadish ed., 1983, pp. 255, 256.
253
In questo senso si veda la critica inglese al modello americano della aggregated
culpablity J.GOBERT, Corporate criminality, op.cit., p. 404; E. LEDERMAN, Models for
Imposing Corporate Criminal Liability: From Adaptation and Imitation Toward aggregation
and the Search for Self-Identity, op. cit., p. 672 e ss. Per questi motivi, come si è visto nel
paragrafo precedente, le Corti inglesi rigettarono l'aggregation theory nelle cause relative
alla tragedia di Zeebrugge, Cfr. The Queen v. H. M. Coroner for East Kent, ex. P. Sooner, 88
Crim. App. 10 (1989).
254
A. FOERSCHLER, Corporate Criminal Intent: Toward a Better Understanding of
Corporate Misconduct, in California Law Review, 1990, p. 1307.
119
Bucy in un celebre saggio del 1991 (lo stesso anno dell'emanazione
delle Federal Sentencing Guidelines relative alle persone giuridiche)
parla per la prima volta di un vero e proprio “ethos”255 delle
corporation che induce gli agenti della persona giuridica a commettere
un reato. I requisiti strutturali di questa “personalità” dell'impresa
indicati dall'Autrice sono: a) la struttura gerarchica dell'organizzazione
b) gli obiettivi che essa si prefigge di raggiungere c) il comportamento
susseguente al reato d) l'esistenza di un compliance program e) le
tecniche di controllo predisposte per assicurare il rispetto dei
programmi di autoregolamentazione f) l'esistenza di condotte
risarcitorie e compensative della condotta illecita.
Una teoria dottrinale che si può considerare un prolungamento della tesi
di Bucy è la cd. teoria strutturale (cd. corporate character theory).
Secondo questa teoria sviluppata da J. Moore, una società può
considerarsi colpevole quando le sue strutture, le sue procedure e le sue
strategie,
specchio
del
suo
“carattere”,
sono
la
causa
del
comportamento antigiuridico realizzato per suo conto dai suoi agenti256.
In particolare Moore afferma che secondo la teoria strutturale la
corporation
sarebbe
colpevole
se
1)
adotta
(formalmente
o
informalmente) una policy illegale e un suo agent la mette in atto
Da www.wikepedia.org: «Ethos (ἦθος) è un termine greco originariamente significante “il
posto da vivere” che può essere tradotto in diversi modi. Può significare “inizio”, “apparire”,
“disposizione” e da qui “carattere” o “temperamento”. Dalla stessa radice greca deriva il
termine ethikos (ἠθικός) che significa “teoria del vivere”, da cui il termine moderno etica».
256
La tesi strutturale è di J.M. MOORE, Cfr. ID, Corporate culpability under the federal
sentencing guidelines, in Arizona Law review, 1992, pp. 767 ss; tuttavia nella dottrina
americana ci sono stati diversi studi, in questo senso, ovvero che fanno riferimento ad una
cultura di impresa con precise attitudini ed usi, con una propria personalità ed un ethos che
ne esprima l'identità (si tratta delle cd. teorie olistiche in senso stretto): Cfr. T.E. DEAL A.A. KENNEDY, Corporate cultures: the rites and rituals of corporate life, Perseus
Publishing, 1982; M.B. CLINARD, Corporate ethics and crime:the role of middle
management, Sage Publications, 1983; C.D. STONE, When the law ends: the social control
of corporate behaviour, Harper & Row, 1975; W. OLINS, The corporate personality: an
inquiry into the nature of corporate identity, Mayflower Book, 1978. Per una brillante analisi
critica circa le diverse teorie elaborate dalla dottrina statunitense sulla colpevolezza di
impresa si veda W.S. LAUFER, Corporate bodies and guilty minds, The University of
Chicago Press, 2006.
255
120
oppure qualora sia ragionevolmente prevedibile che una policy
aziendale porti ad una condotta criminosa 2) una condotta illegale è
commessa, autorizzata, ordinata, o approvata da un «high managerial
official in the corporation» 3) implicitamente ratifica o approva le
condotte illegali dei suoi agents, le quali possono essere provate sia
dimostrando che la corporation in questo caso ha fallito nel riparare ad
una violazione dopo averla scoperta o dimostrando che l'ente ha un
passato di simili e ripetute violazioni del medesimo tipo da parte dei
suoi agents257.
La corporate character theory ha trovato parziale accoglimento anche
nelle Federal Sentencing Guidelines, dove la colpevolezza della
persona giuridica è intesa come difetto di organizzazione e viene presa
come uno dei criteri per il calcolo della pena pecuniaria da infliggere
alla corporation (cd. culpability score).
In sintonia con la tesi di Bucy e Moore è anche l'elaborazione teorica di
G.S. Moohr che sviluppa il concetto di accomplice liability. Secondo
questa teoria la corporation avrebbe il ruolo di complice nel reato
insieme con la persona fisica che materialmente lo commette (cd.
principal). Si tratta quindi di una colpevolezza accessoria, che si
concreta in un “qualche tipo di aiuto” offerto alla persona fisica che
commette materialmente il crimine, infatti: «accomplice need not
physically partecipate in actual commission of the crime, as long as the
accomplice provided some type of aid»258. Moohr spiega in che senso
l'accomplice corporation è colpevole: «blame attaches because without
such aid the primary party not have chosen to engage in the conduct or
257
J.M. MOORE, Corporate culpability under the federal sentencing guidelines, in Arizona
Law review, 1992, pp. 743 ss.
258
G.S. MOOHR, Of Bad Apples and Bad Trees: Considering Fault-Based Liability for
Complicit Corporations, in N.B. RAPOPORT - J.D. VAN NIEL, B.G. DHARAN (a cura
di), Enron and other corporate fiascos: the corporate scandal reader, Thomson
Reuters/Foundation Press, 2009, p. 751; originariamente in 44 American Criminal Law
Review 1343 (2007).
121
might have abandoned it»259, quindi il contributo dell'ente in qualità di
complitic actor deve essere indispensabile per la commissione del
crimine: senza di esso probabilmente il principal agent non avrebbe
mai commesso il crimine o avrebbe comunque desistito. La
colpevolezza della corporation come accomplice sta quindi nel fatto di
aiutare intenzionalmente - incoraggiare o influenzare o comunque
assistere - l'attore principale della condotta materiale. Come può una
corporation compiere tali condotte? Le condotte di aid and abet
possono avvenire tramite l'incoraggiamento a comportamenti scorretti
in cambio di bonus in denaro o benefit, nonché tramite policy aziendali
di dubbia etica, che spingono alla competizione sfrenata i dipendenti,
come quella del “rank et yank ”260. Questi metodi quasi inevitabilmente
portano i dipendenti a delinquere. Moohr specifica quindi che secondo
questo modello: «culpability of the accomplice is found in the intention
259
Ibidem.
Si tratta di un sistema di valutazione in cui vengono comparate le performance dei vari
dipendenti tra loro: essi vengono inseriti in una graduatoria decrescente a seconda dei
risultati conseguiti e coloro che risultano ultimi vengono licenziati. Questo metodo era
utilizzato da Enron, ma si veda anche il caso collegato United States v. Brown, 459 F.3d 509
(5th Cir. 2006) in cui il giudice assolve gli imputati (James Brown e altri co-imputati),
dipendenti di Merrill Lynch dalla condanna per aver falsificato una transazione con Enron
riguardante un prestito a Merril Lynch (circa delle chiatte generatrici di energia) fatto invece
risultare come una vendita. L'accusa era quella di aver provocato i dipendenti di Enron a
violare i loro doveri di correttezza verso la società e quindi di essere colpevoli di honest
service fraud verso Enron. Ma la Corte affermò che il reato di honest service fraud non era
integrato in quanto i dipendenti di Enron non avevano privato quest'ultima dei loro onesti
servizi, ma anzi avrebbero agito proprio come Enron desiderava. Infatti: «the purpose of
their work on the barge transaction was to benefit Enron and not surreptitiously enrich
them. The employees were not bad apples; they had performed in the interest of the firm; and
their interests (...) were aligned with those of the firm» (Così G.S. MOOHR, Of Bad Apples
and Bad Trees: Considering Fault-Based Liability for Complicit Corporations, op. cit., p.
748). La decisione sottolinea poi come le società in questione (Enron e Merrill Lynch)
utilizzavano policy devianti che «contribuited to the wrongful conduct» come: salari
generosi, bonus ad hoc basati sul valore delle performance, e oltre a queste “carote”,
prevedevano anche “heavy stick” come il metodo di valutazione “rank and yank”. MOOHR,
sottolinea come questa decisione del Fifth Circuit non vuole giustificare la condotta poco
etica delle singole persone fisiche che hanno comunque elaborato una transazione falsa che
ha gonfiato i guadagni: «in un mondo perfetto, ci si aspetterebbe che i manager rifiutassero
di partecipare ad un comportamento che sanno essere ingannevole» (G.S. MOOHR, op.cit.,
p. 749). Dati i trascorsi di Enron «the fact that scapegoat may not be completely innocent
does not mean they cannot be scapegoat» (Ibidem).
260
122
to help - to encourage or influence or otherwise assist - the primary
actor who engaged in the criminal conduct. In sum, although liability of
the accomplice for the target offence is dependent on another, fault and
blame are justified by the accomplice's personal conduct and
culpability»261. Mentre secondo il criterio del respondeat superior la
persona fisica gioca il ruolo di agent e la corporation di principal (dove
l'agent agisce per conto dell'ente entro l'esercizio delle sue funzioni), al
contrario
nell'accomplice
liability
i
ruoli
di
corporation
e
employee/executive (ovvero persona fisica agente dipendente o apicale)
sono rovesciati: il principal che compie materialmente la condotta
materiale è la persona fisica, la corporation invece assume il ruolo di
agent che agisce per il principal. Il criterio dell'accomplice liability
supera le “ingiustizie” dal respondeat superior in quanto: non è
“overinclusive” perché non accade che l'ente sia imputabile anche
qualora la condotta materiale dell'agent sia contro le policy aziendali,
inoltre ha uno scopo rieducativo. Tuttavia, come il respondeat superior
è “underinclusive” nel senso che richiede comunque l'identificazione di
un soggetto agente che ha commesso il crimine.
Infine, B. Fisse e J. Braithwaite hanno teorizzato il concetto di “reactive
fault” definito come «unreasonable corporate failure to devise and
undertake satisfactory preventative or corrective measures in response
to the commission of the actus reus of an offence by personnel acting on
behalf of the corporation»262.
261
Ibidem, p. 751.
B. FISSE - J. BRAITHWAITE, Corporations, Crime and Accountability, Cambridge
University Press, 1993, p. 48. Cfr. anche LAUFER, Corporate bodies and guilty minds, op.
cit.. Secondo B. FISSE, Reconstructing Corporate Criminal Law: Deterrence, Retribution,
Fault and Sanction, 56 S. Cal. L. Rev., 1992, pp. 1185, 1186, la reticenza degli Stati Uniti a
sviluppare un concetto di colpevolezza propria dell'ente («genuine corporate fault»),
tendendo quindi ad imputare la mens rea in via vicaria, è dovuta al fatto che ancora «non
esiste un concetto di corporate mens rea soddisfacente»; tra le esistenti gli Autori citano in
via critica:
262
123
L'ente collettivo secondo questa teoria sarebbe meritevole di sanzioni
punitive qualora abbia omesso di reagire alla commissione di reati al
proprio interno, mancando non solo di riparare ai danni cagionati e di
porre in essere le riforme organizzative necessarie ad impedire il
verificarsi di nuove attività illecite, ma anche di collaborare con gli
inquirenti per assicurare i colpevoli alla giustizia. In questo caso il
rimprovero dell'ente riguarderebbe non solo e non tanto le condotte
attive o omissive poste in essere prima della commissione del fatto,
quanto piuttosto il comportamento tenuto dalla stessa nell'arco di tempo
in cui sarebbe ragionevole attendersi una reazione agli illeciti perpetrati.
Si tratta di un approccio senz'altro pragmatico, espressione delle scelte
di politica criminale tipiche dei sistemi angloamericani, ma che a ben
guardare vìola la norma che prevede la mens rea del crimine. A meno
che, come accade in Italia o come avviene nel sistema inglese
(limitatamente al CMCHA 2007 e del Bribery Act 2010, dei quali si è
già avuto modo di parlare), non si preveda un illecito autonomo della
società, distinto da quello della persona fisica (apicale o subordinata),
rispondente a criteri di ascrizione a sé stanti263. Nonostante i lati di
o
managerial mens rea: si tratta del principio dell'identificazione, basato sull'elemento
psicologico di un apicale che costituisce la “directing mind and will” dell'ente. Si
tratterebbe di una colpevolezza non diretta e comunque difficile da provare
o composite mens rea: corrisponde alla teoria della colpevolezza aggregata o collective
knowledge/intent. Questo tipo di mens rea potrebbe essere più facile da provare, ma
non sempre rispecchia una reale colpevolezza dell'ente
o strategic mens rea: basata su le policy aziendali espresse o tacite. Questo è un tipo di
colpevolezza genuina (non vicaria), ma è complessa da provare.
Per questi motivi gli autori, in particolare Fisse, suggeriscono la teoria della colpevolezza
proattiva o “reactive fault”.
263
Si dichiarano comunque d'accordo sull'opportunità di optare per la soluzione proposta
dalla teoria della colpa di reazione: C. WELLS, Corporations and Criminal responsibility,
Oxford, 2001, p. 659; R. LOTTINI, La responsabilità penale delle persone giuridiche nel
diritto inglese, Giuffrè, 2005, p. 155; mentre affermano che questa teoria vìoli la norma che
prevede la mens rea del crimine: A.P. SIMESTER - G.M. SULLIVAN, Criminal Law.
Theory and Doctrine, Hart Publishing, 2010, pp. 279 ss.
Secondo FISSE e BRAITHWITE questo concetto di colpa di reazione degli enti
collettivi rifletterebbe tre “luoghi comuni”: 1) la forza di atteggiamenti di risentimento verso
le aziende le quali si rifiutino o comunque non riescano ad agire e a reagire con diligenza
ogni qualvolta ciò sia richiesto dalla natura nociva o eccessivamente rischiosa delle attività
124
dubbia legalità, questa sembra la teoria più in sintonia con la tendenza
statunitense degli enti imputati a stipulare agreements con la pubblica
accusa per differire il procedimento a loro carico (cd. DPA), infatti
questo tipo di mediazione penale (che sarebbe incompatibile con
l'ordinamento italiano)264 tende già a dare una seconda chance all'ente
imputato, al fine di evitare l'apertura di un procedimento penale a suo
carico.
Ferme restando tutte le interessanti teorie esposte e le fortissime critiche
al respondeat superior esaminate, il sistema statunitense rimane però ancora
oggi saldamente ancorato a quest'ultimo criterio, ormai decisamente
antiquato265; la verità è che esso ha sempre risposto e risponde perfettamente
al pragmatismo statunitense, che sembra non sentire alcuna impellente
necessità di basare il concetto, ormai ben radicato, di corporate criminal
liability su una solida (e credibile) base dottrinale teorica, rispettosa dei
principi più squisitamente dogmatici del diritto penale266.
svolte dalle aziende stesse; 2) la prassi inevitabile in organizzazioni di medio grandi
dimensioni di delegare gli aspetti di compliance a funzioni subordinate salvo le questioni di
maggiore importanza; 3) l'affidamento che le società ripongono sugli strumenti civilistici di
enforcement e la tipica percezione che il procedimento penale venga aperto solo qualora non
siano disponibili altri rimedi in sede civile, Così, B. FISSE - J. BRAITHWAITE,
Corporations, Crime and Accountability, Cambridge University Press, 1993, p. 49.
264
Questo per via soprattutto dell'obbligatorietà dell'esercizio dell'azione penale ex art. 112
Cost. Ma non si può non osservare come a) l'ampio margine di discrezionalità lasciato al
Pubblico Ministero, tanto nella trasmissione dell'informazione di garanzia (art. 57 d.lgs.
231/2001) quanto nell'esercizio dell'azione “punitiva” (artt. 58 e 59), potrebbe lasciare spazio
a dinamiche negoziali con l'impresa coinvolta nelle indagini, certo la frizione con
l'obbligatorietà dell'azione penale rimane, ma si può dire che essa non trovi già ab origine
piena attuazione nel d.lgs. 231/2001. Cfr. G. VARRASO, Il procedimento per gli illeciti
amministrativi dipendenti da reato, in G. UBERTIS - G.P. VOENA, Trattato di procedura
penale, vol. XLVII, Giuffrè, 2012, pp. 278 ss.
265
In questo senso D'ACRI, La responsabilità delle persone giuridiche derivante da reato,
op. cit., p. 134. In accordo anche N. SELVAGGI, Criminal liability of corporations and
compliance programs in the U.S. System, op.cit., p.605 e 615 in cui si legge: «the difficulty in
ascertaining, in some cases, individual responsabilities within a business corporations,
according to the vicarious model which is still predominant (...)».
266
Piuttosto che sulla teoria criminale, sono state avanzate esigenze di riforma in ambito
procedurale (in primis circa la discrezionalità del prosecutor e l'abuso degli strumenti di
mediazione penale); in questo senso si veda E.B. DISKANT, Comparative corporate
criminal liability: exploring the uniquely american doctrine through comparative criminal
procedure, in The Yale Law Journal, n. 1, 2008, per una riflessione più approfondita su
125
§ 2.2.3 IL “MOTO PARABOLICO” DELLA CORPORATE CRIMINAL
LIABILITY
STATUNITENSE:
DALLE
FEDERAL
SENTENCING
GUIDELINES AI PROSECUTORS' MEMORANDA
La United States Sentencing Commission (USSC)267 nel 1987 promulga
le Federal Sentencing Guidelines destinate alle persone fisiche; in seguito
questo tema si veda infra. Cfr. anche N. SELVAGGI, Criminal liability of corporations and
compliance programs in the U.S. System, op.cit. p.605, che afferma: «in general, and
particularly in the context of federal case law, courts' decisions on the criminal liability of
corporations are actually still made in line with relevant schemes which recognize a link
between an offence and a corporate entity to a great extent, and rather often no careful
checks are carried out as to whether the organization of the entity is adequate enought for
prevention purposes». L'Autore sottolinea chiaramente che «this circumstance is due to the
belief that a liability mechanism on a vicarious basis is more likely to steer corporations
towards more effective form and structures with a view to crime prevention» (Ibidem, nota 7,
p. 605). A questo proposito si vedano le pronunce: United States v. Twentieth Century Fox
Film Corp., 882 F.2d 656, 661 (2d Cir. 1989) in cui si afferma che la vicarious liability
incentiva le corporations ad adottare dei compliance programs; e ancora United States v.
Hilton Hotels Corp., 467 F2d 1000, 1006 (9th Cir. 1972): la minaccia della condanna si
rivela efficace per spingere le corporations a prevenire le condotte delittuose dei suoi
dipendenti.
267
Il Congresso nel 1984 varò il Sentencing Reform Act, contestualmente nominò la United
States Sentencing Commission (USSC), una struttura bipartita e indipendente all'interno del
potere giudiziario, il cui compito principale risiedeva nel definire Linee Guida che potessero
fungere da criteri fondanti nella fase di emissione delle sentenze, nei procedimenti di
competenza federale. La USSC, che doveva quindi formulare una razionale ed equa politica
di commisurazione della pena, costruisce così le Guidelines e dei criteri di politica
sanzionatoria destinati alle Corti federali che indichino dei precisi indici cui i giudici devono
far riferimento nel processo di determinazione della pena. Cfr. I.A. SAVINI - M. CALLERI,
Federal sentencing guidelines americane e giurisprudenza italiana, i recenti orientamenti a
confronto, in La responsabilità delle società e degli enti, n. 3, 2010, pp. 73 ss.; DE MAGLIE,
L'Etica e il mercato, op. cit., pp. 65 ss; Cfr. A. GASPARINI, Dall'indeterminate sentence
alle sentencing guidelines: una riforma rivoluzionaria negli USA, in Indice penale, fasc. 2,
1994, pp. 37 ss.
È appena il caso di ricordare che le Sentencing Guidelines non sono il primo atto
codificato riguardante la responsabilità ex crimine delle persone giuridiche (finora si era
sempre utilizzato il criterio giurisprudenziale e civilistico del respondeat superior), infatti
già nel 1977 gli Stati Uniti vararono il Foreign Corrupt Practice Act che poneva il divieto di
condotte corruttive nei confronti di funzionari stranieri, finalizzate a far beneficiare le società
americane o - come indicato nei successivi emendamenti - le società che comunque erano
operative negli Stati Uniti, Così SAVINI-CALLERI, Federal sentencing guidelines
americane e giurisprudenza italiana, i recenti orientamenti a confronto, op. cit, p. 73.
Vent'anni dopo, «gli Stati Uniti promossero tale cultura a livello internazionale ed
anche in forza di tale spinta l'Organizzazione per la Cooperazione e lo Sviluppo Economico
emanò, nel 1997, la Convenzione sulla lotta alla corruzione di pubblici ufficiali stranieri
nelle operazioni economiche internazionali (...). Sul fronte italiano, la legge 29 settembre
2000, n. 300 disponeva la ratifica ed esecuzione della Convenzione di cui sopra e, all’art. 11,
126
decide di costruire delle Linee Guida dirette a regolare l'arbitrio giudiziale
nella commisurazione della pena anche nei confronti delle imprese, così il 1
novembre 1991 entrano in vigore le Federal Sentencing Guidelines destinate
alle persone giuridiche (FSGO)268. È su queste ultime che si vuole qui
concentrare l'attenzione.
Le FSGO prevedono diverse misure sanzionatorie penali punitive
(fines, restitution, remedial orders, probation), ma anche misure di stampo
civilistico di tipo risarcitorio. Si tratta quindi di un sistema misto con una
doppia finalità punitivo-risarcitoria.
La Commissione nel tratteggiare le FSGO ha tenuto conto del requisito
della colpevolezza delle persone giuridiche. All'interno del protocollo
articolato in quindici punti che era stato distribuito tra i componenti della
Commissione mirante a condensare la ratio delle Guidelines si legge che «le
fines
(...)
devono
tener
conto
del
grado
di
colpevolezza
dell'organizzazione»269, ancora nel commento introduttivo alle FSGO si legge
che «la cornice di pena pecuniaria deve calcolarsi in base alla gravità del reato
ed alla colpevolezza dimostrata dall'organizzazione» e ancora «la colpevolezza
si determina in base alle precauzioni prese dalla persona giuridica prima della
commissione del reato e dirette a prevenire i comportamenti criminosi (...) ed
in base alla condotta susseguente al reato tenuta dall'impresa». Il concetto di
colpevolezza delle persone giuridiche viene inteso sia come requisito su cui
fondare la responsabilità dell'ente sia come criterio per la commisurazione
delle pene (culpability score). Quello che qui preme sottolineare è che per la
prima volta negli Stati Uniti la corporation viene considerata come un
delegava il Governo italiano ad emanare un decreto legislativo avente ad oggetto la
responsabilità amministrativa delle persone giuridiche e delle società», Ibidem.
268
Le FSGO si applicano «ad ogni persona giuridica definita come entità o individuo»,
nell'ampio concetto di organization rientrano le società per azioni, le società di persone, le
fondazioni, le joint-stock companies, i sindacati, i trust, i fondi pensione, i comitati e le
associazioni non riconosciute, gli enti pubblici non governativi e le non profit organizations;
Cfr. USSG § 8A1.1.
269 Cfr. United States Sentencing Commission, supplementary report on Sentencing
Guidelines for organizations, 1991, App. A. A-2.
127
organismo a sé stante, capace di pensare, agire e commettere reati. Infatti, il
calcolo della pena pecuniaria base nel sentencing risente sì della teoria del
respondeat superior, ma per altri conteggi delle fines (es. i multipli della
colpevolezza) le FSGO fanno riferimento alla persona giuridica come centro
di imputazione della responsabilità diretto e specifico e non come polo di
rimbalzo che passa necessariamente prima da una persona fisica. Il
comportamento dell'organization viene perciò considerato in modo autonomo
e non come il riflesso dell'operato dei suoi organi. Viene così concettualizzato
lo stato mentale della persona giuridica che volontariamente compie il reato,
che deve usare la diligenza dovuta, che sapeva o avrebbe dovuto sapere
dell'inclinazione a delinquere dei soggetti apicali, ecc.
Secondo autorevole dottrina americana, sotto le Guidelines «la
riprovevolezza viene dunque tematizzata come un difetto di organizzazione:
va accolta nell'ammissione della responsabilità, nel denunciare attività illecite,
nel mettere a punto un programma di autoregolamentazione»270. In
conclusione nelle FSGO si delinea un primo «autonomo concetto di
colpevolezza delle persone giuridiche» negli Stati Uniti, anche se «da
utilizzare - non tanto ai fini della costruzione dell'elemento soggettivo del
reato di impresa, ma più semplicemente - ai fini della commisurazione delle
fines (pene pecuniarie)»271; con le FSGO del 1991 per la prima volta gli Stati
Uniti riconoscono formalmente che al pari della persona fisica anche la
persona giuridica venga presa in considerazione «come una persona a sé
stante, in grado di volere, agire, e commettere reati, adattando alla sua natura
un autonomo concetto di colpevolezza considerato essenzialmente come un
difetto di organizzazione, e rilevante sul piano delle conseguenze
sanzionatorie»272. Sembra quindi che la colpevolezza intesa come difetto di
270
W.S. LAUFER, Corporate bodies and guilty minds, in Emory Law Journal, 1994, pp. 726
ss.
271
272
D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit, p. 63.
Ibidem.
128
organizzazione, avalli la teoria dottrinale strutturale della colpevolezza di cui
si è parlato nel paragrafo precedente273.
L'inizio del Chapter Eight titolato “Sentencing of Organization”
(FSGO) chiarisce lo scopo delle Guidelines: «these guidelines offer incentives
to organizations to reduce and ultimately eliminate criminal conduct by
providing a structural foundation from which an organization may self-police
its own conduct through an effective compliance and ethics program. The
prevention and detection of criminal conduct, as facilitated by an effective
compliance an ethics program, will assist an organization in encouraging
ethical conduct and in complying fully with all applicable laws».
Le
FSG,
quindi,
incentivano
l'implementazione
di
«effective
compliance and ethics programs» che le imprese devono adottare per vedersi
ridurre l'eventuale pena in caso di commissione di reato societario. Come si
sottolineerà infra, i compliance program americani non costituiscono una
defence, ovvero una esimente, come invece i modelli organizzativi italiani ex
d.lgs. 231/2001, art. 6 (sempre che siano ritenuti dal giudice idonei ed
efficacemente attuati)274. Negli Stati Uniti i compliance programs possono
portare solamente ad una diminuzione - seppur fino a oltre 90% - della pena,
ma non possono incidere sul giudizio di colpevolezza. Nella fase del
sentencing (commisurazione della pena), e solo in questa, gli Stati Uniti
incentivano il ruolo attivo dell'impresa attraverso un effective and ethics
compliance program, il self-reporting (consistente nel portare a conoscenza
273
Ibidem: «più di recente la dottrina (americana, n.d.r.) si va orientando verso la costruzione
di un autonomo concetto di colpevolezza della persona giuridica, basandolo sulla cd. tesi
strutturale. Quest'ultima tendenza ha trovato conforto anche (...) nelle Federal Sentencing
Guidelines del 1991, laddove la colpevolezza della persona giuridica, da intendersi quale
difetto di organizzazione, viene presa in considerazione quale criterio (anche se non unico)
di determinazione della pena (pecuniaria) da infliggere alla corporation».
274
Sull'utopia di tale esimente in Italia ci si soffermerà in seguito; Cfr. Cap. II. Per adesso si
prenda atto della formale differenza tra i compliance programs americani e quelli italiani: «a
differenza dell'impianto del d.lgs. 231/2001, il compliance program americano può
comportare solo un alleggerimento della sanzione a carico della società non avendo
un'efficacia esimente» così SAVINI - CALLERI, Federal Sentencing Guidelines americane
e giurisprudenza italiana: i recenti orientamenti a confronto, op. cit., p. 74, nota 10.
129
l'autorità giudiziaria del reato), la cooperazione alle indagini e l'aver
riconosciuto la propria responsabilità. Nella valutazione giudiziale successiva
all’accertamento entrano in gioco una serie di fattori predefiniti e codificati
dalle Guidelines in presenza delle quali l'ente può ottenere una riduzione
significativa della sanzione pecuniaria (potenzialmente fino al 95%). Quindi,
qui si vede come il principio della vicarious liability (oggettivo e livellante
dell'imputazione) sia mitigato dall'accertamento, perlomeno nella fase del
sentencing, del grado di colpevolezza dell'organizzazione. Il giudice, infatti,
dopo aver garantito il risarcimento dei danni alle vittime (per es. attraverso il
restitution order) o comunque assicurato un rimedio ai danni cagionati con la
condotta illecita (con un remedial order o con l'imposizione di un community
service) e dopo aver verificato se l'ente è nelle condizioni economiche per
pagare la fine, dovrà procedere per determinare il cd. culpability score al fine
dell'irrogazione della sanzione pecuniaria bilanciando fattori attenuanti e
aggravanti275. Le Guidelines menzionano anche il coinvolgimento o comunque
la tolleranza dell'ente all'attività criminale posta in essere dal dipendente e la
storia criminale dell'ente (compreso un eventuale reato di obstruction of justice
o la violazione di un precedente order).
È opportuno, anche alla luce di quello che si dirà a proposito dei
modelli di organizzazione nella disciplina italiana, soffermare brevemente
l'attenzione sui requisiti di un effective compliance and ethics program
L’entità della sanzione viene determinata secondo un sistema a punti (il cd. culpability
score, ovvero “punteggio di colpevolezza”), in cui si computano elementi premianti e
aggravanti rispetto all’ipotesi di sanzione base (pecuniaria) definita in via tabellare. Il
“mitigating credit” può ridurre la sanzione fino al 95%, sempre che vi sia stato un “prompt
reporting to the authorities and the non-involvement of high level personnel in the actual
offense conduct”. Il meccanismo può essere così sintetizzato: “an organization fine’s range
is determined under chapter eight by calculating the base fine, the culpability score, deriving
a minimum and maximum multiplier times the base in order to stablish a minimum and
maximun fine”. A riguardo SAVINI - CALLERI, Federal Sentencing Guidelines americane
e giurisprudenza italiana: i recenti orientamenti a confronto, op.cit., p. 74, nota 10. Nel
complesso, le sanzioni pecuniarie statunitensie appaiono molto più pervasive di quelle del
nostro ordinamento. Per specifiche sul tema si veda G.M. GAREGNANI, Etica d'impresa e
responsabilità da reato. Dall'esperienza statunitense ai “Modelli organizzativi di gestione e
controllo”, Giuffrè, 2008.
275
130
nell'ordinamento statunitense. Alla persona giuridica viene richiesto di attuare
regole e procedure per prevenire e accertare la realizzazione dei fatti criminosi
nel contesto dell'attività dell'organizzazione. Il consiglio di amministrazione
ha il compito di supervisionare l'implementazione e l'effettività dei compliance
programs. L'effettiva attuazione dei modelli spetta a specifici soggetti,
individuati tra quelli in posizione gerarchica apicale (che possono però
delegare ad altri sottoposti). Entrando nel contenuto dei modelli, le linee guida
affermano che l'ente per ottenere un'attenuazione della sanzione deve adottare
concrete misure perché tra i soggetti apicali non vi siano soggetti che
l'organizzazione sapeva o avrebbe dovuto sapere attraverso l'esercizio della
dovuta diligenza, essere coinvolti in attività illegali o in altre condotte
incompatibili con un effettivo compliance program. Deve inoltre essere
elaborato un sistema di controlli per garantire che le procedure del modello
siano in concreto rispettate e per valutare periodicamente l'effettività dello
stesso provvedendo nel caso alle opportune modifiche. L'ente è poi chiamato a
pubblicizzare un sistema (che può includere al suo interno meccanismi per
l'anonimato) per il reporting interno su condotte criminose attuali o potenziali.
Infine, l'applicazione delle regole e delle procedure organizzative deve essere
promossa attraverso un sistema di incentivi e un apparato disciplinare276.
276
Le Guidelines non prescrivono l'obbligo in capo alle organizzazioni di delineare il proprio
programma, ma evidenziano i vantaggi cui si può aspirare nell'ipotesi di fatti illeciti. Il
dovere di diligenza delle corporazioni va pertanto misurato, da parte della Corte chiamata ad
accertarne la colpevolezza sulla scorta del compliance program che ne rappresenta il metro,
in questo senso DE MAGLIE, L'etica e il mercato, op. cit., p. 104. In ogni caso il modello
organizzativo delineato dal Congresso dovrebbe svilupparsi su sette elementi fondamentali e
prevedere quantomeno: i) la definizione di regole e procedure interne; ii) un meccanismo di
controllo sull'attività di impresa; iii) l'individuazione del responsabile di tale funzione di
controllo che possa garantire: a) l'effettiva adozione del programma; b) il costante
aggiornamento; c) lo svolgimento delle sessioni formative; iv) un programma di training per
i dipendenti; v) un audit committee deputato alla verifica dell'efficacia del compliance
program adottato; vi) meccanismi sanzionatori per quanti violino il programma; vii)
adozione di efficaci misure post factum.
Nelle Guidelines originarie si specificano, inoltre, numerosi indici da cui poter desumere la
piena efficacia del programma: si tratta di criteri da misurare nello specifico, posto che il
perno su cui ruota un effective compliance program va parametrato al dovere di diligenza
che l'organizzazione deve usare per scongiurare la realizzazione di fatti illeciti, al punto tale
che una lacuna nell'attività di prevenzione non significa necessariamente la carenza del
131
Dal quadro delle Linee Guida appena tracciato viene fuori un modello
ideale di “good corporate citizenship” cui l'ente statunitense deve cercare di
somigliare per beneficiare di un'attenuazione del coefficiente di colpevolezza
nella fase di commisurazione della pena (sentencing).
Sembra opportuno inoltre sottolineare, prima di studiare il modello e
l'evoluzione del concetto di responsabilità ex crimine degli enti in Italia, che
negli Stati Uniti non esiste una “normativa 231” emanata dal Congresso,
ovvero dall'organo parlamentare in senso stretto. Le FSGO della USSC e i
prosecutors' memoranda277emanati dai diversi Deputy Attorney General
costituiscono delle mere Linee Guida che non possono assurgere al rango di
legge. In U.S.A. non esiste una disciplina positiva dei DPA. Diversamente
l'Italia278 e di recente anche il Regno Unito279 si sono dimostrate più
volenterose di dare una base solida (e quindi dottrinale, ma anche
squisitamente normativa), condivisa tramite lo strumento più democratico
modello adottato, inoltre la mancanza dell'equazione reato = responsabilità
dell'organizzazione e, dunque, dell'assenza di responsabilità oggettiva nelle ipotesi di illeciti
a beneficio delle persone giuridiche, è ben argomentata nel commentario al paragrafo 8A1.2
del Chapter Eight. Il tema è stato sviluppato ampiamente in dottrina, ove si è affiancato il
criterio dell’efficacia a quello della ragionevolezza, intesa come imprescindibile parametro
rispetto alla dimensione, alla tipologia di attività ed alla storia dell'organizzazione.
L'orientamento è approfondito da DE MAGLIE C., L'etica e il mercato, op. cit, pp. 112 ss.
277
Di cui si dirà a breve infra.
278
Si precisa per motivi di chiarezza che i DPA in Italia non esistono e non potrebbero
esistere, in quanto si porrebbero in contrasto con la Costituzione. L'art. 112 Cost., sancisce
l'esercizio obbligatorio dell'azione penale, la quale non può, dunque, essere esercitata a
discrezione del pubblico ministero e/o essere oggetto di agreements con l'ente imputato in
cambio della cooperazione alle indagini reindirizzate alle bad apples, ovvero alle persone
fisiche dell'ente coinvolte nel crimine.
279
La responsabilità a carico delle organizzazioni commerciali è stata di recente prevista
anche nel Regno Unito, per i soli casi di corruzione. Come si è già osservato al § 2.1
precedente, il recente Bribery Act del 28 aprile 2010 indica le sanzioni da irrogarsi alle
persone giuridiche nelle ipotesi in cui le predette fattispecie di reato (che ricomprendono
anche la corruzione tra privati e la corruzione di pubblici ufficiali stranieri) siano commesse
a vantaggio dell’organizzazione commerciale. Nel maggio 2012 il Ministero di Giustizia
inglese ha aperto un periodo di consultazione relativo alla proposta di introduzione dei DPA,
terminato il 9 agosto 2012, all'esito del quale è stata presentata al parlamento inglese
un'apposita proposta di legge, confluita poi nel Crime and Courts Act il quale ha ricevuto il
Royal Assent il 25 aprile 2013.
132
possibile, ovvero una legge emanata dal parlamento280. Inoltre, mentre in Italia
esiste un “catalogo di reati” che rientrano nel d.lgs. 231/2001 (anche se sempre
in espansione), negli Stati Uniti questo non è previsto, qui infatti la
responsabilità penale delle organizations può riguardare praticamente
qualsiasi tipo di fattispecie281.
Tracciato il quadro d'insieme delle Sentencing Guidelines, occorre
osservare che poco prima dello scandalo Enron del dicembre 2001, il governo
americano compie un cambio di strategia evidente. Già a partire dal 1999 i
vary Deputy Attorney General succedutisi al Department of Justice (DOJ)
cominciarono ad emanare delle Linee Guida (si tratta dei Principle of Federal
Prosecution of Business Organizations, informalmente detti memoranda)
sull'esercizio - in U.S.A. discrezionale - dell'azione penale nei confronti delle
organizations: i prosecutors vengono istruiti dal governo sui principi da
seguire nella scelta relativa all'avvio o meno del processo contro la società e
sulla possibilità di garantire una migliore tutela agli interessi protetti
rinunciando alla pretesa punitiva in cambio di una decisa cooperazione
dell'ente all'attività di enforcement dello Stato. Finora, nell'ordine cronologico
280
In realtà, volendo essere precisi anche il D.lgs. 231/2001 è stato emanato dal Governo
italiano su delega della legge 300/2000, esso pèrò, secondo il diritto costituzionale italiano
ha comunque forza e valore di legge e non di mere Linee Guida, che invece in Italia sono
state affidate, in via addizionale rispetto al d.lgs. 231/2001, alle organizzazioni di categoria
(es. Confindustria e ABI).
281
Si stima attualmente negli Stati Uniti che un'impresa può essere in astratto chiamata a
rispondere, secondo il cd. “New York Central test”, di circa trecentomila federal offences;
Cfr. E.D. DISKANT, Comparative Corporate Criminal Liability: Exploring the Uniquely
American Doctrine Through Comparative Criminal Procedure, TheYale Law Journal, n.118,
p. 139; Cfr. D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit.,
p. 63: «nel sistema statunitense la persona giuridica può essere considerata penalmente
responsabile per qualsiasi reato, richieda o meno la mens rea».
I criteri di commisurazione dettati dalle Sentencing Guidelines per le sanzioni del
risarcimento (restitution), dei remedial orders, del probation e dei cd. special assessments si
applicano a tutti i delitti (felony) alle contravvenzioni appartenenti al gruppo A (class A dei
misdemeanor, ovvero alle contravvenzioni per cui è prevista una pena detentiva non
superiore ad un anno, ma non inferiore a sei mesi). I criteri tratteggiati dalle Sentencing
Guidelines per la commisurazione invece della pena pecuniaria (fine) possono invece essere
essere applicati solo a quelle fattispecie tassativamente indicate dalla Section 8C 2.1 (a) delle
Guidelines, che però ormai comprende praticamente tutti i reati, si tratta infatti di uno
smisurato elenco di reati, comprensivo di tutte quelle ipotesi che sono espressione tipiche di
una gestione criminosa della politica di impresa. Si tratta dei cd. reati latu sensu economici.
133
i memoranda emanati dal DOJ, che prendono il nome dal Deputy Attorney
General sotto il quale sono stati emanati, sono: Holder Memo (1999),
Thompson Memo (2003) McNulty Memo (2006) e Filip Memo (2008)282.
Rispetto alla filosofia delle Sentencing Guidelines nei memoranda muta
completamente la prospettiva nella quale è inquadrata la responsabilità penale
delle persona giuridica. Innanzi tutto in presenza dei vari presupposti di buona
organizzazione la società può ottenere fin da subito l'esonero dalla
responsabilità, rectius dal processo, senza quindi dover affrontare il
procedimento penale e poi sperare di ottenere il massimo beneficio in chiave
premiale al momento del sentencing. In secondo luogo, nella prassi, l'ente
collettivo perde il ruolo di vero protagonista del procedimento, di soggetto su
cui si punta la “moral blame”, esso diventa piuttosto un mero strumento per
colpire le persone fisiche: la pubblica accusa ha la facoltà di non perseguire la
società che offre un decisivo contributo agli inquirenti per la scoperta
dell'illecito e per la raccolta di prove contro le persone fisiche responsabili.
Tramite i DPA o NPA283 (Deferred Prosecution e Non Prosecution
Agreements) i prosecutors in sostanza inducono l'ente imputato alla rinuncia
all'attorney-client privilege284, ottenendo una cooperazione totale che
sostanzialmente prevede la “consegna” dei dirigenti, degli executives e altre
persone fisiche coinvolte nel reato (a seguito di assai poco garantiste internal
investigation)285. A questo proposito si è anche parlato di “reverse
whistleblowing”. La società quindi può in questo modo bloccare il
procedimento contro di sé. In questi casi il DOJ impone alla società alcune
prescrizioni in tema di compliance per rimediare alle carenze organizzative
nella prevenzione dell'illecito e di solito nomina un corporate monitor con il
282
Per approfondimenti ed aggiornamenti si veda http://federalevidence.com/corporateprosecution-principles.
283
Su cui si rinvia al Cap. II per ulteriori approfondimenti.
284
Per approfondimenti in merito si rinvia al Cap. II.
285
Si veda a questo proposito E. FUSCO, Riflessioni sulla compliance in U.S.A. e in Italia,
in La responsabilità amministrativa delle società e degli enti, n. 2, 2011, pp. 123 ss.
134
compito di verificare, per un certo periodo di tempo l'effettivo adempimento
dell'ente ai contenuti dell'agreement.
Il problema però è intuibile. La società intimorita dai possibili risvolti
negativi di un eventuale processo penale potrebbe essere troppo vulnerabile
alle richieste “estorsive” di prosecutors magari anche ben intenzionati. Questi
ultimi infatti, possono facilmente cadere nella tentazione di sperimentare
rimedi di corporate governance che eccedono di molto le loro competenze e i
loro poteri286. Il rischio concreto è quindi quello per cui «l'ente, anche se le
prove a carico non reggerebbero mai il vaglio del dibattimento possa
comunque, pur di chiudere il contenzioso ed evitare i vari danni accessori,
finire per accettare l'accordo e per subire i “consigli” della pubblica accusa in
materia di organizzazione e governo dell'impresa»287.
D'altra parte, l'impresa siglando l'intesa con la pubblica accusa riduce
drasticamente i danni collaterali dell'inchiesta penale evitando la fase, spesso
in America realmente devastante per l'ente imputato, dell'indictment, durante
la quale i danni reputazionali possono essere così irreversibili da pregiudicare
la stessa prosecuzione dell'attività. Tali gravi conseguenze collaterali
all'indictment prendono il nome di “effetto Andersen”: la società Arthur
Andersen LLP, che aveva certificato i bilanci falsi e gonfiati di Enron fu
condannata e questo ne provocò “la morte”, ovvero il collasso. Il 31 maggio
2005, la Suprema Corte degli Stati Uniti ribaltò all'unanimità la condanna
della Andersen per vizi presenti nelle istruzioni date alla giuria. Dal punto di
vista della Suprema Corte tali istruzioni viziate permisero alla giuria di
condannare la società senza necessità di provare che la stessa fosse a
conoscenza di un procedimento in corso che comportasse la proibizione a
distruggere documenti collegati. Insomma la società era probabilmente
286
J.C. COFFEE, Deferred prosecution: has it gone too far?, in The National Law Journal,
25 luglio 2005, p. 13.
287
F. CENTONZE, La co-regolamentazione della criminalità d'impresa nel d.lgs. 231/2001.
Il problema dell'importazione dei “compliance programs” nell'ordinamento italiano, in riv.
Analisi giuridica dell'economia, fascicolo monografico, n. 2, 2009, N. ABRIANI, G. MEO,
G. PRESTI (a cura di), Società e modello 231: ma che colpa abbiamo noi? p. 229.
135
colpevole, ma al processo non erano state esibite prove oltre l'ogni ragionevole
dubbio. Essendo un processo penale la regola da seguire per il giudice non può
essere quella civilistica del “più probabile che no”, bensì quella più vicina alla
certezza del “beyond any reasonable doubt” (BARD)288.
Gli sforzi dei prosecutors sono ormai chiaramente diretti alle persone
fisiche e ciò emerge in modo cristallino anche dalle prime pagine dei Principle
of Federal Prosecution of Business Organizations sopra citati, dove si legge
che l'accertamento della responsabilità penale individuale: «può rappresentare
il più forte deterrente contro futuri illeciti societari. Solo raramente la procura
dovrebbe astenersi dal perseguire la probabile colpevolezza individuale,
specialmente nei casi in cui essa riguardi funzionari di alto livello»289. A
conferma di ciò, anche il Sarbanes Oxley Act del 2002 (l'anno successivo al
crack di Enron) prevede delle vertiginose sanzioni (fino a vent'anni di pena
detentiva) per chi ostacola l'attività investigativa dell'autorità pubblica
288
Per queste riflessioni si veda F. STELLA, Criminalità di impresa: nuovi modelli di
intervento,in Riv. it. dir. proc. pen., n. 4, 1999, pp. 1256 ss.; Sul collasso di Arthur Andersen
la bibliografia è sterminata, si suggerisce, ai fini della presente trattazione, la lettura del
brillante e originale lavoro di G. MARKOFF, Arthur Andersen and the Myth of the
Corporate Death Penalty: Corporate Criminal convictions in the twenty-first century, in 15
University of Pennsylvania Journal of Business Law 787 (2013). Il quale argomenta come
ormai, dopo il cambio di strategia della pubblica accusa qui appena illustrato, a causa
dell'abuso dei DPA e NPA l'effetto Andersen, ovvero “la morte” dell'ente imputato e
condannato («collateral consequences that risk putting them - le corporations, n.d.r.- out of
business and causing massive social and economic harm») sia ormai solo un “mito”. Nel
recentissimo studio di MARKOFF si legge come: «Yet, there is no evidence to support the
existence of the ‘Andersen Effect’ and the much-hyped corporate death penalty. Indeed, no
one has ever empirically studied what happens to companies after conviction. In this Article,
I do just that». L'Autore attraverso uno studio empirico condotto analizzando i dati ricavati
dalle condanne di corporations verificatesi tra il 2001 e il 2010 ha rilevato che nessuna
compagnia delle condannate è fallita a causa della sentenza di condanna (quindi il cd. Effetto
Andersen non si rileva), ma anzi ha proseguito la sua attività. La sua conclusione a cui arriva
è: «poichè le condanne societarie non hanno le terribili conseguenze che si presume che esse
abbiano e poiché le condanne possono essere usate per ottenere compliance programs tanto
efficaci quanto i DPA, allora il DOJ dovrebbe perseguire più compagnie di quelle tendenti al
crimine in modo sistematico, e riservare i DPA solo per circostanze straordinarie» e ancora
«in the absence of some other justification for using DPAs, the DOJ should exploit the
stronger deterrent value of corporation prosecution to its full capacity». Si avrà modo di
tornare sul punto, Cfr. infra, cap. II, § 3 del presente lavoro.
289
DOJ, § 9.28.200, riportato da CENTONZE, La co-regolamentazione della criminalità
d’impresa nel d.lgs. n. 231 del 2001. Il problema dell’importazione dei «compliance
programs» nell’ordinamento italiano, op.cit., p. 230.
136
distruggendo o comunque alterando dati, documenti o altri oggetti con
l'intento di pregiudicarne l'utilizzo in un procedimento amministrativo o
giudiziario290.
In conclusione, secondo chi scrive, il percorso evolutivo della
corporate criminal liability ha quindi compiuto un moto parabolico: dopo un
periodo di ascesa verso la costruzione di un concetto di colpevolezza di
impresa sviluppato quasi esclusivamente dalla giurisprudenza delle Corti
ottocentesche fino all'importante pronuncia del 1909 New York Central &
Hudson River Railroad, si arriva al punto più alto della traiettoria
corrispondente all'emanazione delle FSGO del 1991, massima espressione
della volontà di perseguire realmente oltre all'individuo (bad apple), anche la
corporation complice o addirittura mandante (bad tree)291. Da quel punto in
poi, soprattutto dopo lo scandalo Enron del 2001 e tutti i successivi scandali
finanziari, il cambio di strategia da parte della pubblica accusa, coincidente
con l'emanazione dei Principles of Federal Prosecution of Business
Organizations (Holder, Thompson, McNulty e Filip Memo) fa precipitare la
curva verso il basso, ovvero verso il target delle bad apples.
Mentre quindi l'Europa, e in primis l'Italia292 dichiarano di ispirarsi al
modello nordamericano, occorre in verità precisare a quale dei modelli
290
Si veda sulla SOX compliance: M. IPPOLITO, Il modello organizzativo ex d.lgs.
231/2001 e la Sarbanes Oxley statunitense, in La responsabilità amministrativa delle società
e degli enti, n. 2, 2012, pp. 175 ss; L.K. GRIFFIN, Compelled cooperation and the new
corporate criminal liability, in New York University Law Review, n. 82, 2007, pp. 331 ss.
291
Per questa terminologia si veda G.S. MOOHR, Of Bad Apples and Bad Trees:
Considering Fault-Based Liability for Complicit Corporations, in N.B. RAPOPORT - J.D.
VAN NIEL, B.G. DHARAN (a cura di), Enron and other corporate fiascos: the corporate
scandal reader, Thomson Reuters/Foundation Press, 2009, p. 746; originariamente in 44
American Criminal Law Review 1343 (2007).
292
la Relazione ministeriale al d.lgs. 231/2001 cita chiaramente il richiamo ai compliance
programs statunitensi al § 3.3. Più precisamente si indica come i modelli di organizzazione,
gestione e controllo previsti dal d.lgs. 231/2001 siano il frutto di una scelta del legislatore
delegato: «piuttosto che sancire un generico dovere di vigilanza e controllo dell'ente sulla
falsariga di quanto disposto dalla delega (...), si è preferito (...) riempire tale dovere di
specifici contenuti: a tale scopo, un modello assai utile è stato fornito dal sistema dei
compliance programs da tempo funzionante negli Stati Uniti».
Anche la dottrina, invero, non ha mancato di evidenziare lo stretto rapporto tra i
contenuti del modello ex decreto e quelli minimi stabiliti dalle U.S. Federal Sentencing
137
statunitensi si riferiscono: si tratta del tratto ascendente del “moto parabolico”
disegnato dall'evoluzione della responsabilità criminale societaria americana,
ovvero a quello in corrispondenza delle Sentencing Guidelines del 1991, che
ormai, come qui si è tentato di acccennare, non sono sostanzialmente più
operanti negli Stati uniti293.
Si anticipa qui che la ratio della tendenza descritta alla punizione delle
persone fisiche, piuttosto che a quelle giuridiche, viene individuata anche nel
fatto che nelle società a capitale diffuso, il reato non viene realizzato a
Guidelines. Tra gli altri R. CALDARONE, La responsabilità degli enti nei paesi aderenti
all'OCSE, in Cass. pen. , 2003, suppl. 6, p. 57; E. GILIOLI, La responsabilità penale delle
persone giuridiche negli Stati Uniti: pene pecuniarie e modelli di organizzazione e di
gestione, in Cass. pen., 2003, suppl. 6, p. 47; P. IELO, Compliance Programs: natura e
funzione nel sistema della responsabilità degli enti. Modelli organizzativi e D.Lgs. 231/2001,
in La responsabilità amministrativa delle società e degli enti, 2006, n. 1, p. 99; R. RODORF,
La normativa sui modelli di organizzazione dell’ente, in Cass. pen., 2003, suppl. 6, p. 79.
Va precisato ancora che La normativa italiana, pur ispirandosi alle richiamate Linee
Guida, necessariamente se ne discosta, sia in ragione del diverso impatto su due differenti
sistemi giuridici, sia per il differente grado di dettaglio che può rinvenirsi in tali atti
normativi. A. ALESSANDRI, Impresa e giustizia penale: tra passato e futuro.
Un'introduzione, in AA.VV., Impresa e giustizia penale tra passato e futuro, Milano, 2009,
Giuffrè. Cfr. cap. II, § 3 di questo lavoro, afferma: «in realtà il richiamo all'ordinamento
statunitense può essere effettuato solo con grande cautela e con la consapevolezza delle
enormi differenze economiche, giuridiche e culturali esistenti tra i due Paesi».
293
Si rinvia per approfondimenti al cap. II, § 3. Basti qui dire ricordare, anche rispetto alle
Sentencing Guidelines, in relazione alla valenza dei compliance program ai fini
dell'imputazione dell'ente: «the choice made by italian legislator seems to go a step forward
to some extent (...) compliance program, if certain conditions are met, not only affect the
application of sanctions but, more thoroughly, they also have an impact on the court's
decision to find corporate entities liable of offenses», così N. SELVAGGI, Criminal liability
of corporations and compliance programs in the U.S. System, op.cit. p.604.
E ancora, la dottrina angloamericana guarda con interesse l'evoluzione della ricerca
di una colpevolezza propria dell'ente in Italia, prendendola a modello e parlando di “lessons
from Italy” in merito alla due diligence defense (esimente) : the innovative element in the
Italian statute is the concept of ‘structural negligence’. It is in structural negligence that can
be located the ‘blame’ that warrants attaching criminal liability to a company. (...) the
company needs to have established guidelines and control systems that take into account the
risk of the offence being committed. If it has not, then it will be found to be ‘structurally
negligent», così J. GOBERT - M. PUNCH, Rethinking corporate crime, Cambridge
University Press, 2003, pp. 108 ss.
Mentre, come abbiamo visto supra il Regno Unito ha fatto dei passi avanti in questo
senso (CHCMA 2007, Bribery Act 2010, Crime and Court Act 2013), e quindi verso la
direzione italiana, negli Stati Uniti ancora se ne discute: recentemente, oltre ad intensificarsi
il dibattito circa l'opportunità di una costruzione dottrinale solida sulla colpevolezza propria
dell'ente, si sta discutendo circa l'inserimento di una due dilegence defence (esimente), come
quella che prevede il modello italiano ex art. 6, d.lgs. 231/2001.
138
beneficio della società o dei soci, ma per soddisfare aspettative individuali. La
forza trainante della criminalità d'impresa sarebbe quasi esclusivamente la
brama del profitto personale. In quest'ottica, non avrebbe senso punire l'intera
organizzazione se non in chiave strumentale, per indurla a giocare un ruolo
attivo nella prevenzione degli illeciti, oppure nell'accertamento degli stessi e
nell'individuazione degli eventuali autori294.
Di seguito, si riporta lo schema di W.S. LAUFER che sintetizza bene
l'evoluzione della corporate criminal liability negli Stati Uniti oggetto di
questo paragrafo della trattazione295. Lo schema si ferma all'anno 2005, per
una valutazione critica circa gli ulteriori sviluppi della compliance americana
fino ad oggi accennati nel presente paragrafo, si rinvia al cap. II, § 3. La
punizione dei bad trees si sta via via estinguendo, a favore di una sostanziale
pena solo per le bad apples, raggiunta, attraverso DPA e NPA stipulati con la
pubblica accusa, anche e soprattutto grazie al “reverse whistleblowing”
praticato dalle bad trees. Queste ultime svolgono quindi solo una funzione
strumentale, non sono (più) il vero obiettivo del DOJ. Fuor di metafora il
target, dopo i memoranda dei prosecutors e i vari scandali finanziari di cui
Enron costituisce l'apripista, non paiono più essere gli enti, quanto piuttosto gli
individui. A questo proposito Laufer parla di fallimento della corporate
crimininal liability, ma la dottrina americana è divisa.
Anche la dottrina italiana appare divisa. Il mutamento di rotta della
giustizia
statunitense
appena
illustrato,
sembra
infatti
trovare
una
corrispondenza nel timore manifestato anche in seno alla dottrina italiana, che
da una responsabilità degli enti possa derivare una deresponsabilizzazione dei
singoli autori del fatto e un disincentivo all'identificazione di questi ultimi.
294
J. ARLEN, Corporate liability in United States: using prosecutorial discretion, to induce
corporations to join the war against crime, in AA. VV, Impresa e giustizia penale: tra
passato e futuro, Giuffrè, 2009, pp. 308 ss. Mentre, come abbiamo visto il Regno Unito ha
fatto dei passi avanti in questo senso, e quindi verso la direzione italiana, negli Stati Uniti
ancora se ne discute: si veda
295
W.S. LAUFER, Corporate bodies and guilty minds. The failure of corporate criminal
liability, The University of Chicago Press, 2006, p. 10
139
Infatti, come ha sottolineato autorevole dottrina, incentrare il biasimo sull'ente
semplifica «l'imputazione di conseguenze del reato, ma di conseguenze
pecuniarie o al più significativamente interdittive, rinunciando di fatto ad altre
sanzioni di più dura e stigmatizzante specie. E ciò proprio in una fase di
evoluzione scientifica e tecnologica in cui l'innegabile spregiudicatezza e
l'indiscussa gravità di taluni comportamenti aziendali, anche naturalmente dei
componenti i vertici delle imprese, richiederebbe una maggiore assunzione di
responsabilità da parte dei singoli e, in vista di una più intensa efficacia
preventiva, una decisa reazione dell'ordinamento nei confronti delle loro
accertate, personali condotte delittuose»296.
Dopo questo ampio sguardo comparato, osserviamo allora più da vicino
il panorama italiano.
296
M. ROMANO, La responsabilità amministrativa degli enti, società o associazioni; profili
generali, in riv. Società ,2002, p. 402.
140
141
§3 IL SUPERAMENTO DEL SOCIETAS DELINQUERE NON POTEST
NELLA DOTTRINA ITALIANA
§ 3.1 LA FINE DI UNA VEXATA QUAESTIO: «LE SEZIONI UNITE
PRENDONO COSCIENZA DEL NUOVO PARADIGMA PUNITIVO DEL
‘SISTEMA 231’»297
§ 3.1.1 Una responsabilità, molte ipotesi circa la sua natura: ecco perché non si
tratta di una mera “questione di etichette” § 3.1.2 Le Sezioni Unite affrontano
le questioni di legittimità costituzionale degli artt. 5 e 6 d.lgs. 231/2001. La
“riconfigurazione” dell'art. 27 Cost.: verso un secundum genus di diritto
penale
§ 3.1.1 UNA RESPONSABILITÀ, MOLTE IPOTESI CIRCA LA SUA
NATURA: ECCO PERCHÈ NON SI TRATTA DI UNA MERA
“QUESTIONE DI ETICHETTE”
Che la vexata quaestio sulla natura della responsabilità degli enti ex
d.lgs. 231/2001 non sia (pur essendo forse nata come tale) una mera
“questione di etichette” è stato riconosciuto ampiamente298. Numerose sono, in
realtà, le questioni applicative la cui soluzione passa anche dall'individuazione
297
Cass. pen., SS. UU., 18 settembre 2014, n. 38343 (caso TyssenKrupp), con nota di R.
BARTOLI, in Le Società, n. 2, 2015, pp. 215-229. È indubbio che il complesso normativo
previsto dal d.lgs. 231/2001 sia parte del più ampio e variegato sistema punitivo e che abbia
evidenti ragioni di continuità con l'ordinamento penale per via soprattutto: a) della
connessione con la commissione di un reato, che ne costituisce il primo presupposto b) della
severità delle sanzioni c) delle modalità processuali del suo accertamento. Sicché, afferma la
Corte, quale che sia l'etichetta che si voglia imporre su tale assetto normativo, è dunque
doveroso interrogarsi sulla compatibilità della disciplina legale con i principi costituzionali
dell'ordinamento penale.
298
D. PULITANÒ, La responsabilità “da reato” degli enti nell'ordinamento italiano, in La
responsabilità degli enti per i reati commessi nel loro interesse, in Cass. pen., supplemento
al n. 6, 2003, pp. 417-418, sottolinea come in questo caso non si possa parlare di “frode delle
etichette” in senso tecnico, dato che questa espressione in genere si riferisce a quelle ipotesi
in cui la classificazione formale serve a coprire l'elusione di garanzie rese necessarie dalla
sostanza punitiva dell'istituto, come nel caso delle misure di sicurezza classificate come
‘amministrative’ dal legislatore; non così è avvenuto con il d.lgs. 231, laddove
«nell'apprestare garanzie sostanziali e processuali, il legislatore italiano del 2001 ha adottato
(...) un'ottica tipicamente garantita, tra tutte la più garantista».
142
della natura che si attribuisce alla «responsabilità degli enti derivante da reato»
(per usare un'espressione neutra299), in particolare, ai fini di questo scritto: le
conseguenze sulla teoria del reato e la configurazione dei criteri di
imputazione soggettiva300. La qualifica della natura ha, inoltre, conseguenze
rilevanti sotto alcuni profili generali:
a) sul piano dei principi, tale qualifica ha creato dei dubbi su “pilastri”
prima ritenuti solidissimi, come la netta contrapposizione tra diritto
amministrativo e diritto penale e che un vero e proprio diritto punitivo
sia possibile solo per le persone fisiche, uniche destinatarie di principi
di garanzia; tuttavia, come si vedrà, anche l'ente è dotato di una sua
“personalità” e quindi anche rispetto ad esso può elaborarsi un principio
di personalità della responsabilità penale;
b) dalla diversa qualifica della natura derivano conseguenze sulla teoria
generale del reato, ovvero relative al tipo di illecito e alla sua struttura.
Coloro che propendono per una natura amministrativa, tendono a
configurare l'illecito dell'ente non solo in termini coincidenti con quello
“umano”, ma anche in termini strutturalmente indipendenti rispetto
all'illecito penale della persona fisica: l'illecito dell'ente sarebbe
costituito da un deficit organizzativo attribuibile all'ente al quale si
aggiunge il quid pluris del reato della persona fisica. Chi invece
propende per una natura penale, pur riconoscendo la diversità
strutturale che intercorre tra il reato umano e quello dell'ente, tuttavia
da tale diversità non fa discendere un'autonomia radicale ed una diversa
Secondo PULITANÒ, la formula “responsabilità da reato” sarebbe da preferire perché
«esprime con immediatezza il problema di disciplina cui la nuova normativa ha inteso dare
risposta, ed evoca il contenuto precettivo e sanzionatorio dei nuovi istituti» e può essere
intesa come dogmaticamente “neutra”, così, Ibidem, p. 420.
300
La presa di posizione circa la natura della responsabilità in esame influisce anche molte
altre importanti tematiche come: i criteri di imputazione soggettiva; la possibilità di
costituirsi parte civile nel processo a carico dell'ente; l'applicabilità della sospensione
condizionale alle sanzioni irrogate all'ente; l'operatività del principio “solidaristico” tra
persone fisiche ed ente rispetto al sequestro funzionale alla confisca; l'autonomia dell'illecito
dell'ente rispetto al reato della persona fisica “colpito” da prescrizione; l'applicabilità della
disciplina della morte del reo all'ipotesi di fallimento dell'ente.
299
143
natura, non solo riconducendo l'illecito alle categorie classiche del
diritto penale (ovvero al concorso di persone), ma anche riconoscendo
l'esistenza di un tipo criminoso peculiare, e cioè un reato dell'ente come
necessariamente plurisoggettivo, frutto dell'inevitabile concorso tra la
persona fisica e il deficit organizzativo dell'ente, con la conseguenza
che la struttura del reato è configurata se non in termini di omesso
impedimento del reato, quanto meno in termini di agevolazione da
parte dell'ente del reato realizzato dalla persona fisica301.
c) dalla natura e dal tipo di illecito dipende la soluzione di questioni a
carattere più strettamente applicativo. Quando il d.lgs. 231/2001 tace
circa un determinato istituto, la lacuna andrà colmata riferendosi al
codice penale e di rito (se si sostiene la natura penale della
responsabilità) o alla legge 689/1981 (se si sostiene la natura
amministrativa della responsabilità). Tuttavia, è bene precisare che una
volta optato per l'applicabilità in astratto della natura penale non è detto
che ne discenda necessariamente anche quella in concreto, in quanto
occorre sempre verificare la compatibilità dell'istituto codicistico con il
“sistema 231”302.
301
In questo ultimo senso si veda C.E. PALIERO, commento all'art. 7 d.lgs. 231/2001, in M.
LEVIS - A. PERINI (a cura di), La responsabilità amministrativa delle società e degli enti,
Zanichelli, 2014, pp. 187 ss.
302
Per esempio è indubbio che la sospensione condizionale della pena sia esclusa dalla
natura amministrativa ed ammessa da quella penale, tuttavia non tutta la dottrina, anche tra
quella che condivide la natura penalistica della responsabilità degli enti, è d'accordo sul farne
discendere la possibilità di applicare, nel processo contra societatem, la sospensione
condizionale della pena. Lo stesso discorso si può fare per l'ammissibilità della costituzione
di parte civile nel processo contra societatem, anzi a questo proposito sono
recentissimamente intervenute anche le Sezioni Unite, che avvalorano circa il caso Thyssen
un tertium genus di responsabilità, dunque parzialmente penale: nonostante ciò, i giudici di
legittimità sanciscono l'inammissibilità della costituzione di parte civile (Cfr. Cass. pen. sez.
IV, 27 gennaio 2015, n. 3786).
Circa l'inapplicabilità della sospensione condizionale della pena inflitta agli enti,
tuttavia, sorgono delle perplessità. Essa potrebbe essere uno strumento di forte compliance
configurando una “carrot” non di poco momento. Per non incorrere nello “stick” della
sanzione l'ente dovrebbe reagire con modelli organizzativi effettivamente implementati. Si
tratta di una misura compatibile con un concetto di reactive fault o colpa proattiva, che
tuttavia parte della dottrina scarta in relazione all'ordinamento italiano - si rinvia al Cap. I, §
144
Appurato che ci stiamo occupando di una questione non meramente
teorica, ma di rilievo pratico, vediamo quali sono le posizioni che si sono
succedute sul tema nel corso del tempo, passando da ultimo anche per la
recentissima sentenza delle Sezioni Unite sul caso Thyssenkrupp303. Con tale
importante pronuncia, la Cassazione ha finalmente cominciato ad esercitare la
sua propria funzione nomofilattica (specialmente quando a Sezioni Unite) su
di un tema in cui, anche nella giurisprudenza di legittimità, si era detto di tutto
2.2.1 lett. C) - ovvero di un istituto simile al probation statunitense e non così lontano da una
giustizia negoziale di cooperazione post delictum. Si rinvia per queste riflessioni al Cap. II, §
3; concorde sull'applicabilità della sospensione condizionale della pena a causa della
riconosciuta natura penale della responsabilità: Trib. Bologna, ud. 2 novembre 2011, n.
3849, Giud. Resta, in Cass. pen. 2012, pp. 2273 ss, con nota di G. GALLUCCIO MEZIO.
Contra R. BARTOLI, nota a sentenza Cass. pen. SS. UU., 18 settembre 2014, 38343, in Le
Società, n. 3/2015, p. 224, che sostiene come sia da condividere l'esclusione della
sospensione condizionale della pena per gli enti, nonostante la riconosciuta natura penale
della responsabilità, poiché «nel sistema sanzionatorio delineato dal d.lgs. 231/2001 (...)
sono previsti istituti diversi in funzione specialpreventiva (...) in buona sostanza, la dinamica
specialpreventiva è anticipata durante la fase processuale e sarebbe assolutamente distonico
applicare la sospensione in fase di cognizione, anche perché l'ente è incentivato ad adottare
modelli organizzativi e condotte riparatorie ante iudicium soltanto se il momento della
cognizione si prospetta (...) sconveniente, ossia effettivo per la non operatività dei
meccanismi sospensivi o sostitutivi pro reo».
Sulla legittimità dell'esclusione di parte civile si è pronunciata recentemente anche la
Corte costituzionale (Cfr. Corte. Cost. n. 218/ 214), contra R. BARTOLI, nota a sentenza
Cass. pen. SS. UU., 18 settembre 2014, 38343, in Le Società, n. 3/2015, p. 224, che afferma:
«(...) si deve ritenere che, trattandosi di un illecito concorsuale, non vi sia alcuna ragione per
non ritenere ammissibile la costituzione di parte civile nel processo a carico dell'ente»;
l'Autore fa lo stesso ragionamento anche circa la confisca, applicando il principio
solidaristico tra ente e persona fisica rispetto al sequestro funzionale alla confisca,
mostrandosi questa volta concorde con la giurisprudenza: «in entrambe le ipotesi l'operatività
di questi istituti discende dalla natura penale della responsabilità dell'ente, come anche
dall'assenza di ragioni che ne determinano l'incompatibilità rispetto al “sistema 231”, nel
senso che, una volta affermata l'omogeneità tra illeciti, non si riesce a scorgere alcun profilo
che giustifichi in termini di ragionevolezza una differenziazione tra le vittime degli ‘uomini’
e le vittime degli enti».
303
Cass. pen. SS. UU., 18 settembre 2014, n. 38343, in Le Società, n. 2, 2015, pp. 215 ss.;
tale pronuncia risulta di grande rilievo non solo per l'autorevolezza delle Sezioni Unite, ma
in quanto - oltre alla questione circa il confine tra dolo eventuale e colpa cosciente per
quanto riguarda il diritto penale delle persone fisiche - affronta di petto nodi cruciali relativi
alla responsabilità degli enti, che da tempo richiedevano un intervento nomofilattico. In
particolare la Corte si occupa: a) di definire la natura della responsabilità quale penale,
amministrativa o ibrida (cd. tertium genus); b) della compatibilità costituzionale degli artt. 5
e 6 d.lgs. 231/2001 con l'art. 27 Cost. comma primo e secondo c) della compatibilità tra i
requisiti dell'interesse e vantaggio previsti all'art. 5 d.lgs. 231/2001 con i delitti colposi
d'evento; d) della nozione di profitto del reato di cui all'art. 19 d.lgs. 231/2001, chiedendosi
se l'utilità economica possa concretizzarsi anche nel mero risparmio di spesa che consegue
dall'omissione delle cautele e dalla prosecuzione dell'attività di imprese.
145
e di più, cosicché i medesimi argomenti potevano venire agevolmente
utilizzati sia a favore a favore di una tesi e del suo contrario304.
Principalmente si sono distinte, circa la natura della responsabilità da
reato degli enti, le seguenti tesi dottrinali (ciascuna avallata più o meno dalla
giurisprudenza):
1) tertium genus: questa è la via confermata dalle Sezioni Unite del caso
Thyssen, nel settembre 2014305;
2) penale: è quella sostenuta dalla dottrina maggioritaria306;
3) amministrativa pura: rispettosa della lettera (rectius, dell'“etichetta”)
della legge307;
304
Similmente cfr. G. DE SIMONE, La responsabilità da reato degli enti: natura giuridica e
criteri (oggettivi) di imputazione, in www.dirittopenalecontemporaneo.it:, p. 12: «certo gli
indizi rinvenibili nella legge non sono univoci né concordanti e il dato normativo si presta a
letture diversificate: prova ne sia il fatto che taluni di questi indizi sono sistematicamente
richiamati dai sostenitori della natura penale della responsabilità, mentre altri tornano utili
piuttosto a chi ritiene che si tratti di una responsabilità autenticamente amministrativa».
305
Oltre alla citata sentenza sul caso Thyssen (Cass. pen. SS. UU., 18 settembre 2014, n.
38343, cit.), si sono pronunciate a favore della tesi del tertium genus: Cass. pen. sez. Vi, 18
febbraio 2010, dep. 16 luglio 2010, Scarafia, in CED, n. 27735/2010; Cass. pen., sez. VI, 9
luglio 2009, dep. 17 settembre 2009, Mussoni, in CED, n. 36083/2009; Corte Ass. Torino,
sez. II, 15 aprile 2011, dep. 14 novembre 2011, Espenhahn, in Dir. pen. proc., 2012, p. 702,
con nota di R. BARTOLI e D. BIANCHI.
306
A sostenere che la natura penale sia l'ipotesi maggioritaria: DE SIMONE, Persone
giuridiche e responsabilità da reato, op.cit.; C.E. PALIERO, Dieci anni di ‘corporate
liability’ nel sistema italiano: il paradigma imputativo nell'evoluzione della legislazione e
della prassi, in Le Società, fasc. speciale, 12s, 2011, p. 5 ss.; D'ACRI, La responsabilità
della persona giuridica derivante da reato, op. cit.
In giurisprudenza sostengono la tesi penale: Cass. pen., sez. VI, 18 febbraio 2010, dep. 16
luglio 2010, Brill Rover, in Le Società, 2010, p. 1241, con nota di V. SALAFIA; Anche le
Sezioni Unite si sono pronunciate per la responsabilità penale in Cass. pen. SS. UU., 27
marzo 2008, dep. 2 luglio 2008, Fisia Italimpianti, in CED, n. 26654/2008.
307
Nel senso della natura amministrativa della responsabilità dell'ente: Trib. Milano 11
dicembre 2006, in www.rivista231.it; Cass. pen., sez. VI, 25 gennaio 2013, dep. 17 maggio
2013, in CED, n. 21192/2013; Cass. pen. sez. IV, 25 giugno 2013, dep. 16 ottobre 2013, n.
42503/2013. Tale natura fa comunque riferimento al diritto amministrativo punitivo. In
dottrina questa tesi è sostenuta da una minoranza di pur autorevoli Autori, quali: M.
ROMANO, La responsabilità amministrativa degli enti, società ed associazioni; profili
generali, in Riv. soc., 2002, pp. 393 ss.; G. COCCO, L'illecito degli enti dipendente da reato
ed il ruolo dei modelli di prevenzione, in Riv. it. dir. proc. pen., 2004, pp. 116 ss.; A.
ALESSANDRI, Note penalistiche sulla nuova responsabilità delle persone giuridiche, in
riv. trim. dir. pen. ec., 2002, pp. 33 ss. (tuttavia quest'ultimo autore ha ultimamente virato
verso un riconoscimento della natura penale); in passato - a d.lgs. 231/2001 appena nato anche G. MARINUCCI, “Societas puniri potest”, uno sguardo sui fenomeni e le discipline,
146
In prospettiva de jure condendo, seguendo la ratio e le argomentazioni
della “sentenza Thyssen” citata sulla via di una «trasmutazione» e
«reinterpretazione” dell'articolo 27 Cost., c'è chi - spingendosi ancora oltre ha teorizzato un “secundum genus” di diritto penale, altro rispetto a quello
“umano”, riferito alla persona fisica308. Ma procediamo con ordine.
È interessante rilevare come le prime sentenze che hanno fatto
riferimento alla natura penale della responsabilità abbiano anche concluso per
la legittimità costituzionale dei criteri di imputazione oggettivi e soggettivi alla
luce della teoria dell'immedesimazione organica. Tuttavia «per non irrigidire
eccessivamente la disputa e lasciarsi margini (...) di manovra e
apprezzamento»309 la giurisprudenza ha iniziato a percorrere una terza via, cd.
del tertium genus. Le Sezioni Unite hanno recentemente affermato: «il
Collegio considera che, senza dubbio, il sistema di cui si discute costituisce un
corpus normativo di peculiare impronta, un tertium genus, se si vuole.
in riv. it. dir. proc. pen, 2002, pp. 1193 ss., salvo poi ammettere (e nel Suo caso sostenere)
una natura penale.
Gli argomenti che depongono a favore della natura amministrativa sono sostanzialmente tre:
1) la lettera della legge, che la definisce tale 2) nel “sistema 231” compaiono elementi
estranei al sistema penale, o addirittura incompatibili con esso, come la disciplina della
prescrizione (art. 22) e quella delle vicende modificative dell'ente (fusione, scissione,
cessione e conferimento d'azienda di cui agli artt. 28-33); cfr. D'ACRI, La responsabilità
degli enti derivante da reato, op. cit., p. 231 per approfondire; 3) la riflessione per cui «se è
vero che ‘non c'è pena senza processo penale’, non è vero il contrario, perché «vi può essere
una sanzione amministrativa anche se inflitta nel corso e con le garanzie del processo
penale» (così ALESSANDRI, Note penalistiche sulla nuova responsabilità delle persone
giuridiche, op. cit.). Ne sarebbe dimostrazione l'ipotesi di connessione obiettiva di un illecito
amministrativo con un reato di cui all'art. 8 legge 689/1981, secondo la quale il giudice
penale competente a conoscere il reato è anche competente a decidere della predetta
violazione.
308
C'è poi chi si è spinto oltre con tesi più “creative”, come G. DE VERO, Struttura e natura
giuridica dell'illecito di ente collettivo dipendente da reato, in Riv. it. dir. proc. pen., 2001,
l'Autore, dopo aver segnalato le difficoltà in ordine alla configurazione di una responsabilità
degli enti quale tertium genus all'interno del sistema punitivo, considera l'illecito da reato di
cui al “decreto 231” come un autentico illecito penale, ma configura le corrispondenti
sanzioni quale terzo binario del diritto penale criminale, accanto alla pena e alle misure di
sicurezza; in realtà questa tesi non si discosta molto da quella del secundus genus, se non nel
nome. Cambia la prospettiva, ma la sostanza è la stessa. Cfr. anche D'ACRI, La
responsabilità delle persone giuridiche derivante da reato, op. cit., p. 238.
309
R. BARTOLI, nota a sentenza Cass. pen. SS. UU., 18 settembre 2014, n. 38343, cit., p.
221.
147
Colgono nel segno del resto le considerazioni della Relazione che accompagna
la normativa in esame quando descrivono il sistema che coniuga i tratti
dell'ordinamento penale e di quello amministrativo nel tentativo di
contemperare le ragioni dell'efficienza preventiva con quelle, ancor più
ineludibili, della massima di garanzia».310 Con l'ambigua espressione adottata
dalla Corte ci si vuole riferire al fatto che il sistema degli enti è un sistema
punitivo, ma con caratteri propri rispetto al sistema punitivo “umano”, avendo
come destinatario un soggetto del tutto peculiare, quale è l'ente. Il problema
sulla natura si pone quindi tra la natura punitiva amministrativa e natura
penale, quest'ultima, per definizione, punitiva. La giurisprudenza, con una
soluzione compromissoria, ricorre al tertium genus per riferirsi ad una
combinazione di penale e punitivo amministrativo. Tuttavia, non è del tutto
chiaro per quali aspetti dovrebbe operare la natura penale e per quali invece
quella amministrativa: rispetto ai principi, la natura è penale o amministrativa?
E rispetto alla disciplina?
Se è vero che l'idea del tertium genus è sorta per evitare l'applicazione
dei principi di garanzia o comunque per applicarne una loro valenza
comunque meno pregnante311, tuttavia in seguito essa è stata utilizzata per
scindere le problematiche concernenti i principi da quelle relative alla
disciplina; rispetto ai principi, non si esita (più) ad affermare la natura penale e
quindi la piena autorità dei principi di garanzia, rispetto alla disciplina si lascia
invece una sorta di zona franca in cui natura penale e natura amministrativa
possono venire in gioco a seconda del'istituto e della problematica che si
prende in considerazione312. La sentenza delle Sezioni Unite in esame
conferma questo quadro affermando, dopo aver optato per il tertium genus,
che: «è indubbio che il complesso normativo in esame sia parte del più ampio
310
Punto 62 della motivazione della sentenza supra citata.
Così le citate sentenze: “Mussoni” (Cass. pen. sez. VI, 9 luglio 2009, dep. 17 settembre
2009) e “Espenhahn” (Corte Ass. Torino, sez. II, 15 aprile 2011, dep. 14 novembre 2011).
312
In questo senso la sentenza “Scarafia” citata (Cass. pen. sez. VI, 18 febbraio 2010, dep.
16 luglio 2010).
311
148
e variegato sistema punitivo; e che abbia evidenti ragioni di continuità con
l'ordinamento penale per via soprattutto, della connessione con la
commissione di un reato, che ne costituisce il primo presupposto, della
severità dell'apparato sanzionatorio, della modalità processuale del suo
accertamento. Sicché, quale che sia l'etichetta che si voglia imporre su tale
assetto normativo, è dunque doveroso interrogarsi sulla compatibilità della
disciplina legale con i principi costituzionali dell'ordinamento penale»313.
Appare quindi chiaro come il tertium genus non riguardi i principi314,
anzi, come a breve si vedrà, la Corte - a questo riguardo - non solo opta per
una natura penale della responsabilità dell'ente, ma si preoccupa di rileggere,
riconfigurare, trasmutare i suddetti principi alla luce del particolare soggetto,
non umano, a cui sono rivolti.
Piuttosto il tertium genus sembra riguardare la disciplina, in particolare
quegli istituti non espressamente disciplinati, rispetto ai quali si vuole poter
scegliere il sistema che di volta in volta può risultate più conveniente. Per fare
alcuni esempi pratici di come, in questi casi, la giurisprudenza stia adottando
soluzioni decisamente differenziate, si pensi alla possibilità di costituirsi parte
civile nel processo penale de societate: l'orientamento, giustificato anche sulla
base della natura amministrativa della responsabilità e dell'illecito è nel senso
dell'inammissibilità315; diversamente, facendo leva stavolta sulla natura
penale, la Corte si orienta nel senso che, data l'unicità dell'illecito, qualora il
profitto criminoso non sia più rintracciabile o apprensibile, è possibile
sequestrare il suo equivalente patrimoniale presso ciascun concorrente, sia
313
Ancora il punto 62 della motivazione della sentenza Thyssen (Cass. pen. SS. UU., 18
settembre 2014, n. 38343, cit).
314
Si fa riferimento ai principi generali del diritto penale che si trovano in Costituzione, quali
il principio di personalità della responsabilità colpevole, di tipicità, di legalità ed i corollari
di quest'ultimo di tassatività e determinatezza, nonché alla presunzione di non colpevolezza
(art. 25 Cost. commi 1 e 2, art. 27 Cost. commi 1, 2, e 3, artt. 111 e 112 Cost.).
315
La questione non è tuttavia pacifica, nonostante siano recentemente intervenute sia la
Corte Costituzionale (sent. 218/2014, cit.) e le Sezioni Unite (Cass. pen. SS. UU., 18
settembre 2014, 38343cit.). Si veda supra, in nota, in questo paragrafo § 3.1.1.
149
esso persona fisica o giuridica, ferma restando l'inammissibilità di
duplicazioni316.
Illustrata la tesi più autorevole (e più recente) della giurisprudenza,
passiamo ad esaminare la dottrina maggioritaria, che si esprime a favore di
una natura sine dubio penale della responsabilità in esame317. In modo
lapidario e con un “giro di parole” che non si è mancato di criticare in
dottrina318, la Cassazione ha affermato che «ad onta del nomen juris, la nuova
responsabilità, nominalmente amministrativa, dissimula la sua natura
sostanzialmente penale (...) forse sottaciuta per non aprire delicati confltti con
i dogmi personalistici dell'imputazione criminale»319. Già prima, i giudici di
legittimità, nel definire l'ambito soggettivo di applicazione del d.lgs. 231/2001,
ne avevano giustamente escluso l'operatività nei confronti delle imprese
individuali, facendo appello al divieto di analogia in malam partem e al suo
referente costituzionale immediato, ovvero l'art. 25 comma secondo Cost.:
316
In questo senso si veda la citata sentenza Fisia Italimpianti (Cass. pen., SS. UU., 27 marzo
2008, dep. 2 luglio 2008).
317
Ex multis cfr. A. TRAVI, La responsabilità della persona giuridica nel d.lgs. n.
231/2001: prime considerazioni di ordine amministrativo, in Soc., 2011, pp. 1305 ss. (anche
se qui l'autorevole Autore, riconoscendo nella normativa in esame una sostanziale natura
penale, sostiene che sarebbe stata più auspicabile una reale - e non solo di “etichetta” responsabilità amministrativa); C. PIERGALLINI, Societas delinquere et puniri non potest:
la fine tardivadi un dogma, in Riv. trim. dir. pen. ec., 2002, pp. 598 ss.; ID., Societas
delinquere et puniri non potest. Riflessioni sul recente (contrastato) superamento di un
dogma, in Quest. Giust., 2002, 1103; C.E. PALIERO, Il d.lgs. 8 giugno 2001, n. 231: da ora
in poi societas delinquere (et puniri) potest, in Corr. giur., 2001, pp. 845 ss.; G.
AMARELLI, Mito giuridico ed evoluzione della realtà: il crollo del principio societas
delinquere non potest, in Riv. trim. dir. pen. eco., n. 4, 2003 p. 967 ss.; G. DE VERO,
Struttura e natura dell'illecito di ente collettivo dipendente da reato. Luci e ombre
nell'attuale delega legislativa, in riv. it. dir. pen. proc., 2001, pp. 1154 ss.; T.E. EPIDENDIO
in A. BASSI - T.E. EPIDENDIO, Enti e resposabilità da reato, Giuffrè, 2006, pp. 454 ss; G.
FIANDACA - E. MUSCO, Diritto penale, parte generale, VI edizione, Zanichelli, 2009, pp.
165 ss.; A. MANNA, La cd. responsabilità amministrativa delle persone giuridiche: il punto
di vista del penalista, in Cass. pen. 2003, pp. 1103 ss.; E. MUSCO, Le imprese a scuola di
responsabilità tra pene pecuniarie e misure interdittive, in Dir. e giust., n. 23, 2001, pp. 8 ss.;
318
C.E. PALIERO, Dieci anni di corporate liability nel sistema italiano, op. cit., p. 16 che
sostiene come la Corte qui sostenga la «pruderie definitoria (un esercizio di semantica
dell'eufemismo?)» del legislatore nel d.lgs. 231/2001.
319
Cass. pen. sez. II, 30 gennaio 2006, n. 3615 in Cass. pen. 2007, p. 74 (caso Jolly
Mediterraneo S.r.l.).
150
questo può far supporre un'implicita adesione alla tesi che afferma la natura
penale della resposabilità320.
Gli argomenti a favore della natura penale «sono solidi e convincenti»321, per
almeno tre ragioni:
o la commissione di un reato da parte di una persona fisica apicale o
subordinata,
nella
gerarchia
dell'ente
(presupposto
della
responsabilità)322;
o l'accertamento del fatto mediante la giurisdizione e le regole del
processo penale;
o la presenza di sanzioni dal contenuto certamente afflittivo.
Altro argomento forte è anche l'art. 8 d.lgs. 231/2001, che rende la
responsabilità dell'ente autonoma, rispetto a quella delle persone fisiche autrici
del reato. Essa infatti sussiste anche quando l'autore della condotta materiale
del fatto non viene identificato o non è imputabile ovvero nel caso in cui il
reato si estingua per causa diversa dall'amnistia (art. 8 comma 1, lett.a e b)323.
320
Cass. pen., sez. VI, 3 marzo 2004, dep. 22 aprile 2004, in Cass. pen. 2004, pp. 4046 ss.
(caso Ribera), con nota di P. DI GERONIMO, La Cassazione esclude l'applicabilità alle
imprese individuali della responsabilità da reato prevista per gli enti collettivi: spunti di
diritto comparato; è appena il caso di notare che in una decisione successiva la Cassazione è
pervenuta sorprendentemente (e la funzione nomofilattica è andata, di conseguenza, un poco
dimenticata) ad una conclusione opposta: Cass. pen. sez. III, 15 dicembre 2010, dep. 20
aprile 2011, n. 15657, in Cass. pen., 2011, pp. 2556, con nota di L. PISTORELLI,
L'insostenibile leggerezza della responsabilità da reato delle imprese individuali; la
medesima sentenza, in Le Società, 2011, pp. 1075 ss. è annotata da C.E. PALIERO, Bowling
a Columbine: La Cassazione bersaglia i basic principles della corporate liability; DE
SIMONE, Persone giuridiche e responsabilità da reato, op. cit. afferma criticamente che qui
la Corte applica un procedimento analogico in malam partem, ma afferma di sostenere la
responsabilità alle imprese individuali sulla base di «una lettura costituzionalmente
orientata» (La Corte fa il seguente ragionamento: occorre «conferire al disposto di cui al
comma 1 del d.lgs. in parola una portata più ampia (...) non cogliendosi nel testo alcun
cenno riguardante le imprese individuali, la loro mancata applicazione non equivale ad una
esclusione (...) semmai ad una implicita inclusione nell'area dei destinatari della norma».
321
Così D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit., p.
240.
322
rectius «i criteri di imputazione soggettivi che rendono il reato espressione di una
partecipazione personalistica piena dell'ente», così BARTOLI, nota a sentenza, cit.
323
Ci sono anche altre argomentazioni minori (“indici rivelatori”) a favore della tesi
penalistica:
o il sistema per quote di commisurazione delle pene pecuniarie (artt. 10 e 11 d.lgs.
231/2001) ispirato al modello penale anche statunitense;
151
Circa la struttura dell'illecito dell'ente che, non coincide con quello
della persona fisica, ma è ben più complesso, abbiamo visto che vi sono due
tesi: una prima elaborazione tende a contrapporre una struttura dell'illecito
concorsuale a cui corrisponde una natura penale324; una seconda tesi,
corrispondente alla natura amministrativa, prevede un illecito in cui il deficit
organizzativo rappresenta la condotta e il cuore dell'illecito dell'ente, mentre il
reato-presupposto compiuto dalla persona fisica è una condizione obiettiva di
punibilità. Se si sostiene la seconda tesi, è indubbia la sussistenza di una vera e
propria eterogeneità tra l'illecito dell'ente e quello della persona fisica.
Tuttavia si vuole qui esprimere qualche perplessità circa l'equazione appena
illustrata per cui: la struttura concorsuale sta alla natura penale, così come la
struttura con al centro il deficit organizzativo (e che prevede il reatopresupposto come condizione obiettiva di punibilità) sta alla natura
amministrativa. Tale equazione ha senso se ci si muove nella vecchia
prospettiva per cui un diritto penale è concepibile soltanto rispetto all'uomo e
non all'ente325. Se invece, come si è fa in questo lavoro, si accoglie l'idea che il
“sistema 231” «comporta una trasmutazione delle categorie forgiate a partire
dalla peculiarità del destinatario ente» si deve ritenere che entrambi le tesi termini dell'equazione suddetta (corrispondenti a due diversi modi di intendere
o
la previsione di responsabilità anche in relazione alla commissione dei reati nella
forma del tentativo (art. 26 del decreto cit.);
o la previsione della rinuncia all'amnistia da parte dell'ente (art. 8 comma terzo del
decreto cit.);
o l'istituzione di un'anagrafe nazionale delle sanzioni inflitte agli enti
o l'applicazione dei principi di legalità (art. 2 decreto cit.) e di retroattività della lex
minor (art. 3 comma 2 decreto cit.).
324
In questo caso, si può ancora parlare di omogeneità tra l'illecito dell'ente e quello della
persona fisica (Così, C.E. PALIERO, la società punita: del come, del perché e del per cosa,
in Riv. it. dir. proc. pen., 2008, p. 1521; in giurisprudenza cfr. sentenza Fisia Italimpianti,
Cass. pen. SS. UU. 27 marzo 2008, dep. 2 luglio 2008, cit.). Secondo questa teoria il reato
della persona fisica continua ad essere il cuore dell'illecito dell'ente, rispetto al quale il deficit
organizzativo offre un contributo meramente concorsuale. Il punto dolens di questa teoria è
la possibilità dell'ente di integrare un concorso (attraverso il deficit organizzativo) nel reato
della persona fisica.
325
Si rinvia diffusamente al Cap. I, § 1 e $ 2.
152
la struttura dell'illecito) - «siano compatibili con natura penale, perché ciò che
fonda la responsabilità penale è il pieno coinvolgimento dell'ente»326.
Ecco allora, in definitiva, che «mentre l'illecito umano è un illecito
monosoggettivo ed eventualmente plurisoggettivo» (senza considerare qui le
fattispecie
“ontologicamente”
plurisoggettive
dove
viene
in
gioco
l'associazione di per sé illecita), «l'illecito dell'ente è sempre necessariamente
plurisoggettivo, dove per concorso necessario si intende che la stessa
realizzazione monosoggettiva da parte dell'ente necessita del concorso della
persona fisica»327.
§ 3.1.2 LE SEZIONI UNITE AFFRONTANO LE QUESTIONI DI
LEGITTIMITÀ COSTITUZIONALE DEGLI ARTT. 5 E 6 D.LGS. 231/2001.
LA “RICONFIGURAZIONE” DELL'ART. 27 COST.: VERSO UN
SECUNDUM GENUS DI DIRITTO PENALE
Le Sezioni Unite, nella sentenza in esame, hanno escluso che il meccanismo di
imputazione all'ente in presenza di soggetti apicali contrasti con il principio di
personalità della responsabilità328.
326
Così R. BARTOLI, nota a sentenza, Cass. pen. SS. UU., 18 settembre 2014, n. 38343,
cit., p. 223. Al contrario, chi sostiene la natura puramente amministrativa della responsabilità
sostiene che l'illecito dell'ente coincide in tutto e per tutto con quello della persona fisica
(criterio dell'immedesimazione): in questo modo non si valorizza alcuna componente propria
dell'ente in prospettiva di autentica (penale) responsabilizzazione dello stesso. Si è affermato,
inoltre che, poiché ex art. 8 d.lgs. 231/2001 la responsabilità dell'ente sopravvive alle
vicende del reato posto in essere dalla persona fisica, tale responsabilità avrebbe natura
diversa da quella penale. Tuttavia, anche questa lettura non tiene conto del rinnovamento sul
piano paradigmatico confermato dalle Sezioni Unite e, in ogni caso, del fatto che anche con
rispetto alle persone fisiche è ben possibile che la mancata punibilità di un soggetto non
faccia venire meno la punizione di un altro.
327
Così R. BARTOLI, nota a sentenza, Cass. pen. SS. UU., 18 settembre 2014, n. 38343,
cit., p. 223.
328
Si ricorda la vicenda precendente: Il Tribunale di Torino (Corte Ass., 15 aprile 2011,
Espenhahn, in www.dirittopenalecontemporaneo.it) aveva dichiarato la manifesta
infondatezza delle questioni di legittimità costituzioanle sollevate con riguardo alla
presunzione di colpevolezza emergente dagli artt. 5, 6, e 7 d.lgs. 231/2001 e l'asserita
indeterminatezza dei modelli organizzativi previsti negli artt. 6 e 7, in quanto esse
presupporrebbero la natura sostanzialmente penale della responsabilità, che la Corte ha
invece, in secondo grado, rifiutato. Come si è visto, se si nega la responsabilità penale, i
parametri di giudizio quali artt. 25 comma 2, 27 commi 1.2 e 3, 111 e 112 non rilevano.
153
Da un lato si tratterebbe di responsabilità per fatto proprio, in virtù dei
criteri di imputazione oggettiva (secondo la cd. accezione minima del
principio di cui all'art. 27 Cost. comma primo) infatti la Corte afferma: «è
senz'altro da escludere che sia violato il principio di responsabilità per fatto
proprio. Il reato commesso dal soggetto inserito nella compagine dell'ente, in
vista del perseguimento dell'interesse o del vantaggio di questo, è sicuramente
quantificabile come proprio anche della persona giuridica, e ciò in forza del
rapporto di immedesimazione organica che lega il primo alla seconda: la
persona fisica opera nell'ambito delle sue competenze societarie, nell'interesse
dell'ente, agisce come organo e non come soggetto da questo distinto; né la
degenerazione di tale attività funzionale in illecito penale è di ostacolo
all'immedesimazione».
Dall'altro lato, si tratterebbe di responsabilità per fatto colpevole,
(rispondente quindi all'art. 27 Cost. comma primo riletto in chiave più ampia come responsabilità non solo personale, ma anche colpevole - dalla Corte
Cost. con le due note sentenze del 1988, n. 364 e 1085) essendo richiesta una
vera e propria colpa di organizzazione: «parimenti è da escludere che il
sistema violi il principio di colpevolezza. Di certo, però, tale principio deve
essere considerato alla stregua delle peculiarità della fattispecie, affatto diversa
da quella che si configura quando oggetto dell'indagine sulla riprovevolezza è
direttamente la condotta umana». La Corte scandisce perfettamente come:
«qui il rimprovero riguarda l'ente e non il soggetto che per esso ha agito:
sarebbe dunque vano e fuorviante andare alla ricerca del coefficiente
psicologico della condotta (...) occorre allora ricostruire in guisa diversa quella
che solitamente viene denominata colpa d'organizzazione, considerandone il
connotato squisitamente normativo». Il legislatore ha inteso imporre alle
imprese «l'obbligo di adottare le cautele necessarie» a prevenire la
commissione di alcuni reati adottando iniziative di carattere organizzativo e
gestionale; i giudici di legittimità affermano come «tali accorgimenti vanno
consacrati in un documento, un modello che individua i rischi e delinea le
154
misure atte a contrastarli» e dunque «non aver ottemperato a tale obbligo
fonda il rimprovero, la colpa d'organizzazione (...) il riscontro di tale deficit
organizzativo consente la piena ed agevole imputazione all'ente dell'illecito
penale»329.
La lettura che viene data al principio di personalità della responsabilità
penale è innovativo. La maggior parte dei problemi interpretativi del “sistema
231” sono sorti dal fatto che quando ci si è relazionati alla responsabilità
dell'ente si è sempre avuto come punto di riferimento il diritto penale (principi
e teoria generale del reato) elaborati avendo come punto di riferimento la
persona fisica e “umana”. Da qui si aprono due strade: quella vecchia per cui
esigendo una base psico-fisica della responsabilità si arriva necessariamente a
ritenere impossibile una responsabilità penale dell'ente, optando per una natura
amministrativa e/o valorizzando il criterio dell'immedesimazione; quella
nuova, invece, riflette sul fatto che è tempo di accorgersi del peculiare
destinatario che è l'ente e che tutto il diritto penale (principi e teoria generale
del reato) andrebbe reinterpretato alla luce di questa peculiarità. In questa
nuova prospettiva l'ente presenta una propria personalità basata sulla capacità
di organizzarsi per la prevenzione dei reati e che la responsabilità si radica su
un difetto di tale organizzazione.
Tale innovativa impostazione, che prevede la configurazione dell'ente
in termini così pregnanti (colpa di organizzazione) e la stessa disciplina del
d.lgs. 231/2001 concernente i criteri di imputazione soggettiva finisce per
richiedere una sorta di “reinterpretazione correttiva” per renderla conforme
all'assetto costituzionale così delineato. Anche perché, stando alla lettera della
legge, mentre l'art. 6 del decreto in esame si basa sul criterio della
immedesimazione330, l'art. 7 comma primo attribuisce comunque un ruolo
329
Ancora il punto 62 della motivazione della sentenza Thyssen (Cass. pen. SS. UU., 18
settembre 2014, n. 38343, cit).
330
L'art. 6 attuale del d.lgs. 231/2001 ha una formulazione legislativa ispirata al datato
modello dell'immedesimazione organica (cfr. Cap. I, § 2). Tale norma presenta i seguenti
caratteri: a) l'imputazione soggettiva della persona fisica che ha agito in qualità di organo
155
significativo al mancato controllo da parte delle persone fisiche che coprono
posizioni apicali331: ciò significa che per imputare il reato all'ente in caso di
reato posto in essere da un subordinato non è sufficiente la colpa in
organizzazione, ma è necessario un contributo della persona fisica apicale.
Tale contributo, che si concretizza nella culpa in vigilando, ovvero
nell'inosservanza degli obblighi di controllo dell'apicale, è in contrapposizione
con una piena affermazione del principio della responsabilità dell'ente in
chiave di colpa di organizzazione.
Nasce quindi un'esigenza di interpretazione alternativa, che riconfiguri i
due criteri di imputazione in conformità al principio costituzionale della
personalità della responsabilità dell'ente basato sulla colpa di organizzazione.
In particolare, per quanto riguarda l'art. 6 d.lgs. 231/2001 si è prospettata, da
parte della giurisprudenza332, un'interpretazione nuova e diversa, ispirata alla
colpa di organizzazione e che presenta i seguenti caratteri:
viene in sostanza trasposta in capo all'ente; b) è prevista un'esimente composta da alcuni
requisiti, tra i quali spiccano l'adozione di un modello organizzativo da parte dell'ente e
un'elusione fraudolenta da parte dell'apicale (ragione per cui quest'ultimo deve aver tenuto
una vera e propria condotta che, se non coincide con gli artifizi e raggiri di cui al reato di
truffa ex art. 640 c.p., tuttavia deve integrare inganno e falsità); in quest'ultimo senso circa
l'elusione fraudolenta ex art. 6, si veda anche Cass. pen., Sez. V, 18 dicembre 2013 (dep. 30
gennaio 2014), n. 4677 - caso Impregilo, in www.penalecontemporaneo.it - in cui la Corte
ravvisa una mera violazione delle regole, ma non una fraudolenta elusione di esse e quindi
non riconosce l'esimente all'ente imputato, annullando l'assoluzione in appello che
confermava quella in primo grado; c) l'inversione dell'onere della prova a cui si aggiunge
anche la prova dell'eventuale fraudolenta elusione, ai fini dell'esimente, considerata una
probatio diabolica poiché mira a dimostrare un comportamento altrui. Per approfondimenti
si veda infra in questo Cap. e nel successivo Cap. II.
331
L'attuale art. 7 del d.lgs. 231/2001 attribuisce un ruolo rilevante all'inosservanza degli
obblighi di direzione e controllo da parte dei soggetti apicali (comma primo) e sembra invece
ridurre quello dei modelli organizzativi (comma secondo); per cui, attualmente: a) se il
modello è adottato, si deve concludere nel senso dell'irresponsabilità, anche se vi è stata
inosservanza degli obblighi di direzione e vigilanza da parte del soggetto apicale (culpa in
vigilando) b) ma se il modello non è stato adottato, si compie una distinzione: se vi è stata
inosservanza degli obblighi, scatta la responsabilità; se invece i soggetti apicali hanno
osservato gli obblighi, la responsabilità deve essere esclusa. Si discute poi se debba
sussistere un vero e proprio nesso di causalità oppure un mero nesso agevolativo.
332
Cass. pen. sez. VI, 18 febbraio 2010, dep. 16 luglio 2010, Brill Rover, cit; g.u.p. Trib.
Milano, 17 novembre 2009, E. Manzi, in Le Società, n.4, 2010, pp. 473 ss., con nota di C.E.
PALIERO, Responsabilità dell'ente e cause di esclusione della colpevolezza: decisione
“lassista” o interpretazione costituzionalmente orientata? (si tratta dell'assoluzione in primo
grado di Impregilo S.p.a. per il reato di aggiotaggio).
156
o non assume più alcuna rilevanza la componente psicologica della
persona fisica che agisce come organo, ma determinante è piuttosto la
sussistenza o meno di una colpa di organizzazione;
o l'art. 6 disciplina un vero e proprio criterio di imputazione, mentre
l'elusione fraudolenta «o perde di rilevanza o comunque è interpretata
in chiave soft, come mera espressione di un dolo di elusione»333;
o sul piano processuale non ci sarebbe più alcuna inversione dell'onere
probatorio.
Quel che si vuole qui sottolineare è che le Sezioni Unite, pur
affermando che l'art. 6 non contiene nemmeno attualmente un reale inversione
dell'onere della prova, sembrano avallare la ricostruzione “riconfigurata”
dell'articolo, così come appena esposto qui sopra.
Anche
per
l'art.
7
d.lgs.
231/2001,
è
possibile
prospettare
un'interpretazione alternativa, volta a dare piena attuazione al principio della
personalità della responsabilità penale rispetto all'ente: nella reinterpretazione
di tale articolo, l'inosservanza degli obblighi gravanti sulle persone fisiche
(apicali) non assumerebbe mai rilevanza, mentre sarebbe decisivo il difetto
(deficit) di organizzazione; la conseguenza sarebbe che a) se il modello è
adottato, la responsabilità è esclusa, mentre b) se non è stato adottato, la
responsabilità scatta sempre, anche se c'è stata culpa in vigilando da parte
333
Così BARTOLI, nota a sentenza in esame, cit.; concorde DE VERO, Il progetto di
modifica della responsabilità degli enti tra originarie e nuove aporie, in Dir. pen. proc., n.
10, 2010, p. 1139, il quale afferma criticamente che al attualmente, circa l'art. 6, si assiste ad
una: «combinazione tra il momento oggettivo dell'immedesimazione organica e quello
soggettivo della colpa d'organizzazione. La permanenza della responsabilità dell'ente a fronte
del reato commesso ‘senza frode’ dall'apice, anche in presenza di un'adeguata gestione dei
modelli organizzativi e di una corretta vigilanza del corrispondente organismo, svaluta
notevolmente la portata della colpevolezza d'impresa: questa viene (...) riassorbita nella
dimensione organica, a conferma del dato che il soggetto in posizione apicale si identifica
con la persona giuridica in ogni momento, lecito o illecito, del suo agire nell'interesse di
essa». E ancora, prosegue l'Autore: «di contro, l'esclusione della responsabilità dell'ente nella
fantomatica ipotesi della elusione fraudolenta svilisce questa seconda prospettiva:il soggetto
apicale, se ha commesso il reato nell'interesse dell'ente collettivo (...) dovrebbe comunque
impegnare la responsabilità della societas; l'adozione dei compliance programs dovrebbe
valere - come avviene appunto nell'ordinamento di provenienza - solo come circostanza
attenuante, in vista di una politica di impresa in via di principio osservante, eppure
sconfessata nella decisiva contingenza concreta da parte di chi dispone del relativo potere».
157
del'apicale. La dottrina sostiene poi, che un punto delicato è quello di
verificare o meno l'idoneità del modello a ostacolare la realizzazione del reato.
Al fine di dare piena attuazione al principio personalistico, ad avviso di chi
scrive, la risposta non può che essere positiva334.
Alla fine di queste riflessioni, spingendosi un passo oltre, in una
prospettiva de jure condendo, provando ad esplorare gli scenari futuribili si
potrebbe ravvisare più che un tertium genus di natura della responsabilità
dell'ente, il delinearsi di un secondum genus di diritto penale, alternativo a
quello della persona fisica ed “umana”335. Si tratterebbe di prendere coraggio e
osare innovare le categorie del diritto penale classico, rectius fare spazio ad
un'altra categoria di nuova formazione: quella della colpevolezza di
organizzazione. Non si tratterebbe di una pura vittoria della politica criminale
334
In senso positivo si veda C.E. PALIERO, Commento all'art. 7, cit., pp. 195 ss. Contra DE
VERO, La responsabilità penale, op.cit., p. 195 ss.
335
G. DE SIMONE, Persone giuridiche e responsabilità da reato, op. cit. p. 19: «il
problema della compatibilità con i principi affermati dall'art. 27 commi 1 e 3, cost. potrà
essere eluso soltanto se si esclude il carattere penale della responsabilità da reato, mentre, se
lo si ammette, allora, per logica coerenza, volendo restare coerenti alle premesse dogmatiche
di stampo individualistico, se ne dovrà, nel contempo, denunciare l'illegittimità
costituzionale». Secondo l'Autore, «l'opinione che appare più condivisibile - almeno per chi
sia disposto a vedere un altro diritto penale, diverso da quello pensato per le persone fisiche
-è quella secondo cui il paradigma ascrittivo introdotto nel 2001 può avere cittadinanza nel
sistema penale come suo ulteriore binario sanzionatorio, che si aggiunge a quelli già
operativi nel campo dell'Individualstrafrecht. È un diritto penale diverso - con categorie
sistematiche e criteri di imputazione suoi propri - ritagliato, ovviamente, sulle specifiche
fattezze dei soggetti metaindividuali. È un secundum genus penalistico se si vuole».
158
sulla dogmatica336, ma di un allargamento della dogmatica, certo con qualche
compromesso337. Le opinioni in dottrina «sembrano fronteggiarsi e contendersi
il campo senza alcuna possibilità di sintesi e di mediazione», ma in realtà esse
risultano, ad un occhio attentamente critico, «meno distanti di quanto non
possa apparire a prima vista. A nessuno, infatti, verrebbe in mente di sostenere
che per le persone giuridiche possano valere gli stessi concetti e gli stessi
336
Nonostante vi siano voci autorevoli che lo auspicano: si veda E.R. AFATALIÒN, Acerca
de la responsabilidad penal de las personas jurìdicas, in La Ley, t. 37, 1945, p. 289, il quale
senza mezzi termini afferma che «se ancora permane una qualche difficoltà per conciliare la
responsabilità criminale delle persone giuridiche con la cd. teoria giuridica del reato, allora
tanto peggio per quest'ultima!»; Cfr. anche DE SIMONE, Persone giuridiche e
responsabilità da reato (2012), op. cit., p. 32 che sostiene (in relazione alla responsabilità
degl enti derivante da reato): «è difficile pensare, in effetti, che la dogmatica penalistica
possa sbarrare la strada ad una scelta politico-criminale di simile portata. Come ha detto
qualcuno, la battaglia per la punibilità delle persone giuridiche è stata già combattuta e
decisa», l'Autore cita a riguardo anche R. SCHMITT, il quale sottolinea come «alla fin fine
non è la dogmatica, ma la volontà legislativa di regolamentare una situazione riconosciuta
come problematica a decidere dell'ammissibilità di questa regolamentazione», cfr. nota 71, p.
32, Ibidem; concorde MARINUCCI, Il reato come azione. Critica di un dogma, Giuffrè,
1971 e ID., Politica criminale e codificazione del principio di colpevolezza, in Riv. it. dir.
proc. pen., 1996, pp. 423-447, il concetto è diffusamente presente in quasi tutte le
pubblicazioni sul tema di questo autorevole Autore, da ultimo si vedano ex multis i recenti
contributi: ID., A proposito di F. Stella, “La giustizia e le ingiustizie”, in Riv. it. dir. proc.
pen., 2007, pp. 267-271; ID., La responsabilità penale delle persone giuridiche. Uno schizzo
storico-dogmatico, in Riv. it. dir. proc. pen., 2007, pp. 445-469; ID., Diritto penale
dell’impresa: il futuro è già cominciato?, in Riv. it. dir. proc. pen., 2008, pp. 1465-1483;
nello stesso senso si vedano anche: F. GIUNTA, La punizione degli enti collettivi: una
novità attesa, nonché C.E. PALIERO, La responsabilità penale della persona giuridica:
profili strutturali e sistematici in G. DE FRANCESCO (a cura di), La responsabilità degli
enti: un nuovo modello di giustizia “punitiva”, Torino, 2004; in particolare, ancora, si veda
il lungimirante contributo di C.E. PALIERO, L'Autunno del patriarca. Rinnovamento o
trasmutazione del diritto penale dei codici? in Riv. it. dir. proc. pen., 1994, che già negli
anni Novanta riteneva che l'introduzione di una responsabilità diretta della persona giuridica
rappresentasse una delle irrinunciabili pietre angolari di ogni pensabile riforma. Egli aveva,
in un certo senso, previsto la nascita di un diritto penale dell'impresa a composizione ibrida,
in relazione al quale non avrebbe più avuto senso erigere steccati tra il penale criminale e il
penale amministrativo: un «anodino Sanktionsrecht». Paliero nelle sue pubblicazioni ha
spesso criticato l'atteggiamento conservatore non solo del legislatore, ma anche della
dottrina.
337
Il compromesso, a parere di chi scrive (come illustrato infra nel testo, cfr. anche § 3.2 in
questo Capitolo) è rappresentato da un'ammissione di necessaria modifica eventuale dell'art.
27 Cost. per legittimare del tutto una responsabilità ex crimine dell'ente, altrimenti la
normativa che la prevede - d.lgs. 231/2001 - almeno sotto alcuni aspetti (per esempio relativi
all'art. 8 d.lgs. 231/2001) andrebbe a scontrarsi con i principi costituzionali. Si veda
diffusamente infra e Cap. I, § 3 per ulteriori approfondimenti). La dottrina più conservatrice,
pur autorevole non si trova in accordo sul punto, per questo motivo le questioni dogmatiche
di fondo restano tuttora aperte, cfr. DE SIMONE, ult. op. cit.(2012), p. 32.
159
criteri di imputazione di cui si fa uso nell'ambito dell'Individualstrafrecht. Ma
non si tratta di questo. Si tratta, piuttosto, di ammettere o di non ammettere la
possibilità di un altro diritto penale, con categorie sistematiche e criteri
d'imputazione
suoi
propri,
pensato,
fin
dall'inizio,
per
i
soggetti
metaindividuali»338.
In tale innovativa prospettiva de jure condendo è interessante osservare
il tentativo di razionalizzare il “sistema 231” da parte della più recente
dottrina, anche alla luce delle ultime pronunce di legittimità339. Si propongono
tre modelli di diritto punitivo dell'ente: 1) quello antropocentrico, basato
338
Così DE SIMONE, ult. op. cit. (2012), p. 33, l'Autore ribadisce che «la decisione pro o
contro la capacità penale di persone giuridiche e associazioni viene a dipendere, in ultima
analisi, dalla preferenza accordata alla dogmatica o, rispettivamente alla pragmatica». La
questione delle responsabilità penale degli enti si sposterebbe, dunque, su di un piano più
squisitamente politico; Cfr. anche ID. La responsabilità da reato degli enti: natura giuridica
e criteri (oggettivi) d'imputazione, op. cit., p. 19. «la soluzione al problema viene a
dipendere, in ultima analisi, dal retroterra culturale e ideologico del singolo interprete (...) si
può dire che la colpevolezza di organizzazione sia davvero in grado di fornire una sufficiente
legittimazione dogmatica ad una responsabilità autenticamente penale della societas? (...) le
risposte sanzionatorie messe a punto nel d.lgs. 231 sono davvero in grado di svolgere
funzioni equiparabili a quelle di vere e proprie pene? Chi ritiene di poter rispondere
affermativamente a tali interrogativi non ha alcuna difficoltà ad ammettere una natura
esselzialmente penale della responsabilità e la sua compatibilità con il dettato costituzionale
(ferma restando, ovviamente, la questione della legittimità dei singoli profili normativi
dell'attuale disciplina)»; Contra M. ROMANO, Societas delinquere non potest (nel ricordo
di Franco Bricola), in riv. it. dir. proc. pen., 1995, p. 1037 il quale esprime autorevolmente
delle forti riserve circa la modifica all'art. 27 Cost. in prospettiva de jure condendo: «la
destinazione di norme relative a comportamenti (che si postulino) intrisi di una connotazione
particolarmente negativa sul piano etico-sociale alle sole persone fisiche ha il regio di
esaltare lo specifico della persona umana e quella libertà del singolo che sta alla base della
sua responsabilità». L'Autorevole Autore esprime la preoccupazione che il dare ingresso a un
modello di responsabilità così lontano dall'ortodossia penalistica possa agevolare un
processo di “imbarbarimento” dell'intero sistema penale: «il superamento del principio - del
societas delinquere et puniri non potest, n.d.r. - (...) comporterebbe il rischio di un graduale
progressivo stravolgimento culturale dell'illecito penale e di un suo ulteriore ‘allargamento’
nel nostro sistema, che è proprio l'opposto della direzione di cambiamento da molto tempo
ampliamente condivisa e sollecitata» Cfr. nello stesso senso anche ID. La responsabilità
amministrativa degli enti, società o associazioni: profili generali, in Riv. soc. 2002, p. 402;
anche altri Autori hanno sostenuto tale tesi, considerando l'art. 27 Cost. come un ostaoclo
invalicabile per l'introduzione della responsabilità ex crimine degli enti, ex multis cfr. E.
MUSCO, Diritto penale societario, Giuffrè, 1999, p. 28, che parla di «barriera difensiva di
rango costituzionale» con cui le esigenze di riforma hanno sempre dovuto fare i conti».
339
R. BARTOLI, nota a sentenza, Cass. pen. SS. UU., 18 settembre 2014, n. 38343, Le
Sezioni Unite prendono coscienza del nuovo paradigma punitivo del “sistema 231”, in Le
Società, n. 2, 2015, pp. 215-229, in particolare si veda pp. 228-229.
160
ancora sulla persona fisica, dove opera il criterio dell'immedesimazione e dove
il reato dell'ente coincide con quello della persona fisica; 2) il modello
antropomorfico, dove invece scompare del tutto il ruolo della persona fisica e
dove lo stesso ente è considerato come se fosse un individuo, con la
conseguenza che il difetto di organizzazione diventa la condotta dell'illecito
dell'ente e il reato della persona fisica rappresenta una condizione obiettiva di
punibilità; 3) il modello dualistico, basato sul rapporto dialettico tra persona
fisica ed ente, dove il criterio di imputazione è costituito dalla colpa di
organizzazione e il reato dell'ente è necessariamente plurisoggettivo, perché
basato sul concorso nel fatto criminoso della persona fisica. Sempre in
prospettiva futura, si auspica al modello antropomorfico, ma si riconosce che
finquando non si prevede espressamente a una disciplina di componente
soggettiva340, «è opportuno che il sistema sia letto solo in chiave dualistica e
non anche antropomorfica e che, pertanto, all'art. 8 si attribuisca soltanto un
ruolo correttivo di affermare la responsabilità dell'ente quando, pur non
essendo stata identificata la persona fisica, tuttavia si è in grado di stabilire la
sua posizione apicale o subordinata». A proposito dell'elemento di
colpevolezza che mancherebbe nel modello antropomorfo per farlo
funzionare, consentendo una «trasmutazione del diritto penale» compatibile
con i principi costituzionali, la medesima dottrina afferma che lo stesso deficit
organizzativo che ha prodotto il reato, deve essere a sua volta il frutto di un
difetto organizzativo che costituisce l'elemento soggettivo dell'illecito341.
L'elemento soggettivo potrebbe tradursi nel senso che «in assenza tout court di
modelli organizzativi, si configura un dolo dell'ente, mentre in presenza di
modelli inidonei una sua colpa», inoltre «con ogni probabilità potrebbe
340
Prevedendo tale modello antropomorfico una condotta identificata nel deficit
organizzativo dell'ente e una condizione obiettiva di punibilità che si identifica con il reatopresupposto della persona fisica, ma mancando di delineare l'elemento soggettivo e dunque
la colpevolezza, essenziale elemento del reato tipico ed antigiuridico.
341
BARTOLI, ult. op. cit., p. 228: «organizzazione dell'organizzazione alla quale
corrisponde un macro difetto organizzativo che ha generato il difetto organizzativo
agevolativo del fatto criminoso».
161
riassumere un ruolo la persona fisica soprattutto apicale, o meglio ancora,
organismi appositamente destinati alla organizzazione legale dell'ente»342 . Si
tratta però al momento di “scenari futuribili”; attualmente, si può dire che: a)
l'art. 5 è compatibile con tutti i tre modelli supra citati b) l'art. 6 si ispira
all'immedesimazione organica (modello antropocentrico) c) l'art. 7 si ispira
alla colpa di organizzazione (modello dualistico), ove però continua ad avere
un rilevante ruolo l'apicale d) l'art. 8 affermando la sussistenza della
responsabilità dell'ente anche quando l'autore del reato non è stato identificato,
apre le porte a una concezione antropomorfica, ma non si può tacere che
questo richiederebbe una modifica costituzionale (art. 27 Cost.).
Cercando di trarre le conlusioni su quanto detto:
a) il sistema delineato nel d.lgs. 231/2001 gravita nell'orbita del diritto
penale di cui condivide i principi e le garanzie;
b) vale, quindi, per il “sistema 231” la copertura costituzionale offerta
dalle disposizioni che concernono la materia penale;
c) rispetto al diritto penale “dell'individuo” esso presenta ineliminabili
diversità, dovute alla diversità dei soggetti: qui «bisogna ricorrere, e
non può essere diversamente, a criteri normativi di ascrizione»343.
342
Ibidem, p. 229.
DE SIMONE, La responsabilità da reato degli enti: natura giuridica e criteri (oggettivi)
d’imputazione, op.cit., p. 21.
343
162
§ 3.2 LA COLPEVOLEZZA DELL'ENTE
“Is there any point to which you would wish to draw my attention?”
“To the curious incident of the dog in the night-time”
“The dog did nothing in the night time”
“That was the curious incident” remarked Sherlock Holmes344
La colpevolezza dell'ente è ormai un concetto necessario. Anche la
Relazione Ministeriale al d.lgs. 231/2001 ritiene esplicitamente «superata
l'antica obiezione legata al presunto sbarramento dell'art. 27 Cost. e cioè
all'impossibilità di adattare il principio di colpevolezza alla responsabilità
degli enti». La colpevolezza infatti è un istituto del diritto penale che non può
costituire una categoria immutabile: essa si evolve con il contesto storico del
momento e risulta come il frutto di più ampie scelte di politica criminale. Le
344
Silver Braze, A.C. DOYLE, The complete Sherlock Holmes, Vol. I, 399, 313 (New York,
Barnes & Noble Classics, 2003; la citazione riguarda un dialogo tra un detective di Scotland
Yard e Sherlock Holmes, quest'ultimo pone l'attenzione sul fatto che il cane da guardia non
fece nulla - nemmeno abbaiare - durante la commissione del crimine. Tale silenzio doveva
significare qualcosa; per esempio, che il cane conosceva bene il criminale. N.B.
RAPOPORT cita A.D. DOYLE nella sua recensione (The curious incident of the law firm
that did nothing in the night time, in AA.VV., Enron and other corporate fiascos: the
corporate scandal reader, Thompson Reuters/Foundation Press, 2009, p. 1215) del libro di
M.C. REGAN, Eat what you kill: the fall of a wall street lawyer (University of Michigan
Press, 2004) riguardante la caduta in rovina di un avvocato d'affari, John Gellene. Appariva
decisamente sospetto che la law firm per cui lavorava Gellene, la Milbank Tweed Hadley &
McCloy (cd. Milbank) non fece nulla - come denunciare il suo componente - eppure i segnali
c'erano tutti ed erano anche ben evidenti (addirittura Gellene non passò l'esame per
l'ammissione al bar di New York, il che significava che aveva esercitato per anni senza
abilitazione). Questo silenzio della Milbank doveva significare qualcosa; per esempio che la
law firm conosceva bene i misfatti dell'avvocato Gellene e anzi ne tollerava, se non
addirittura incentivava la condotta criminosa, poiché riscontrava anch'essa un utile
economico. La Milbank era complice di Gellene e fu condannata a pagare svariati milioni di
dollari. N.B. RAPOPORT nella sua recensione di stampo sociologico afferma: «I believe
that the Milbank failure to act was a sort of co-dependecy and that there are countless
incident of ethical lapse co-dependency in organizations, caused not by simple greed, but by
a combination of psychological and sociological factors that cause very bright people to do
some very stupid things». L'Autrice pone l'attenzione sul fattore umano come anello debole
all'interno di una corporation: «I believe that exploitation of loopholes was only a symptom
of the problem, not a cause. Instead, I believe that human nature - especially that part of
human nature that plays mind games, such as cognitive dissonance, diffusion of
responsibility, and social pressure) - created the problems at Enron».
163
tesi tradizionali dell'incapacità della societas alla pena risultano oggi
«distorsive della realtà economica del nostro tempo»345.
Abbiamo visto con l'analisi dell'evoluzione del concetto di corporate
criminal liability nel Regno Unito e negli Stati Uniti l'alternarsi di diverse
teorie circa la colpevolezza della societas, ma nessuna di queste ha
propriamente convinto: il limite delle teorie anglo-americane è quello di essere
rimaste, alla fine, troppo fedeli alle tesi antropocentriche, che mal si adattano
alla persona giuridica. La colpevolezza dell'ente non può confondersi con il
rimprovero ai suoi singoli componenti: l'ente collettivo non si riduce alla
somma di questi ultimi. Tralasciando il criterio della responsabilità vicaria e
del respondeat superior, in quanto - come si è detto - del tutto inadeguato (ma
in nordamerica ancora il più utilizzato), anche le teorie più evolute come
quella inglese dell'alter ego o dell'immedesimazione organica e quella
americana dell'aggregated culpability non paiono essere sufficientemente
convincenti, perché ancora non osano distaccarsi del tutto dalla colpevolezza
della persona fisica. In particolare, se il criterio dell'alter ego venisse
osservato, sarebbe ingiustificata la duplice punizione e dell'ente e della
persona fisica autrice materiale della condotta, con conseguente esclusione
della responsabilità individuale. Verrebbe così a vanificarsi lo spirito del
decreto teso a punire l'ente, ma senza mandare esente da pena l'autore
materiale dell'infrazione. Anche la colpevolezza aggregata o cumulativa non
convince: essa «sconta il pregiudizio che la responsabilità della societas non
possa prescindere dall'individuo»346 in quanto costituita da una mera
sommatoria delle responsabilità individuali dei singoli dipendenti347. In Italia,
poi, l'art. 8 (rubricato “Autonomia delle responsabilità dell'ente”) del d.lgs.
Così F. VIGNOLI, La responsabilità ‘ da reato’ dell'ente collettivo fra rischio di impresa
e colpevolezza - II parte, in www.rivista231.it.
346
Così F. VIGNOLI, La responsabilità ‘ da reato’ dell'ente collettivo fra rischio di impresa
e colpevolezza - II parte, in www.rivista231.it.
347
Come si è già osservato, il soggetto collettivo viene a costituire in questo modo una sorta
di “macroantropo” caratterizzato da una “megacolpevolezza” che si distingue solo per
quantità e non per qualità dalla colpevolezza della persona fisica.
345
164
231/2001 permette che il soggetto collettivo risponda “anche quanto l'autore
del reato non è stato identificato”, il che vizia definitivamente il modello
accessorio della dipendenza da reato (in cui la corporation è accomplice
dell'individuo-autore materiale) 348: superare il paradigma di una responsabilità
accessoria a quella della persona fisica risulta quindi una scelta obbligata a
parere di chi scrive, i tempi sono ormai maturi per una ricostruzione teorica di
una colpevolezza propria ed autonoma (faul-based) dell'ente.
Proprio a quest'ultimo proposito, come si legge nella Relazione
Ministeriale al decreto (paragrafo 3.3), occorre ai fini dell'imputazione
dell'ente «soltanto che il reato sia ad esso ricollegabile sul piano oggettivo»,
ovvero che l'illecito sia stato commesso, nell'interesse o a vantaggio della
società, da un soggetto di vertice dell'ente o da un dipendente sottoposto alla
direzione e alla vigilanza di quest'ultimo e aggiunge che «il reato dovrà
costituire anche espressione della politica aziendale o quanto meno derivare da
una colpa di organizzazione». Tralasciando l'analisi del criterio di imputazione
oggettivo che si vedrà nel capitolo successivo, si vuole qui concentrare
l'attenzione sul paradigma soggettivo della colpevolezza dell'ente.
348
Tentando di trovare un precedente normativo assimilabile alla disciplina del d.lgs.
231/2001, si rileva che l'art. 28 Cost. presenta un meccanismo di doppia responsabilità che
si avvicina al “sistema 231”: la persona fisica materialmente commette l'illecito e ne
risponde così come l'Amministrazione a cui la responsabilità è estesa. L'art. 28 Cost. prevede
una sorta di responsabilità cumulativa, con meccanismo a rimbalzo, in cui all'illecito della
persona fisica, presupposto indispensabile, consegue la responsabilità dell'ente. Qui l'illecito
è del funzionario e la responsabilità si propaga solo a fini risarcitori all'Amministrazione di
appartenenza. Il coinvolgimento dell'ente non è finalizzato qui a punire un atteggiamento
riprovevole dell'Amministrazione, ma tende invece a rispondere ad una istanza di maggior
garanzia per il danneggiato che potrà rivalersi più facilmente verso la struttura pubblica
piuttosto che nei confronti dell'impiegato.
Nell'ipotesi ex art. 28 Cost., soggetto pubblico e persona fisica sono entrambi
responsabili civilmente, diversamente nel “modello 231” la qualificazione giuridica del fatto
illecito risulta penale per l'individuo e formalmente “amministrativa” per l'ente; non si tratta,
dunque, in quest'ultimo caso di un'ipotesi di risarcimento del danno. La punizione è sottesa a
differenti responsabilità, che presuppongono un autonomo rimprovero per entrambi i
destinatari della sanzione. Il meccanismo a rimbalzo dell'art. 28 Cost, non potrebbe nel
“modello 231” funzionare, perché esso rileva solo se il reo è stato identificato e ciò è
incompatibile con l'art. 8 del d.lgs. 231/2001. Infatti, la dottrina (VIGNOLI, ult. op. cit.)
afferma: «l'art. 8 d.lgs. 231/2001, nel legare l'ente alla responsabilità anche quando il reatopresupposto non sussista, introduce una responsabilità propria della persona giuridica».
165
Delle due forme di colpevolezza citate dalla Relazione la prima, la
colpevolezza derivante dalle scelte di politica di impresa, costituisce la forma
più grave e riprovevole «in un certo senso equiparabile al dolo»; la seconda, la
colpevolezza di organizzazione, rappresenta la forma meno grave ed
«equiparabile in buona sostanza alla colpa»349; a questi due tipi di rimprovero
corrispondono diverse risposte sanzionatorie, sia in termini quantitativi, che in
termini qualitativi.
La prima tipologia, La colpevolezza derivante dalle politiche di
impresa, è una forma di colpevolezza verticistica che assume due distinte
sottoforme:
a) la prima più intensa e riprovevole si ha quando l'ente (spesso gestito in
questo caso dalla criminalità organizzata che lo utilizza per compiere
attività sia lecite, ma soprattutto illecite) opera principalmente e quasi
solo esclusivamente per perseguire scopi criminosi oppure servendosi
di mezzi criminosi; si tratta in sostanza di un'impresa criminale: si ha
quando l'ente sceglie il crimine come strumento della politica di
impresa.
b) la seconda comprende quelle ipotesi in cui i dirigenti dell'ente,
piegando le strutture organizzative interne, realizzano, determinano,
accettano o comunque tollerano la commissione di un reato. In tale
sottocategoria sono ricomprese sia le attività di per sé illecite, ovvero i
casi in cui i dirigenti commettono e/o inequivocabilmente richiedono ai
subordinati un comportamento criminoso, sia quelle attività che, seppur
lecite, portano prevedibilmente la realizzazione di un illecito penale. In
quest'ultimo caso i dirigenti tollerano situazioni rischiose con una sorta
di sospettosa “sistematica cecità” di fronte agli illeciti (“the dog who
349
In questo senso D'ACRI, La responsabilità delle persone giuridiche derivante da reato,
op. cit., pp. 137, 138. Concordi G. MARINUCCI, Societas puniri potest: uno sguardo sui
fenomeni e sulle discipline contemporanee, in Riv. it. dir. proc. pen., 2002, pp. 1210 ss. e A.
MEREU, La responsabilità da reato degli enti collettivi e i criteri di attribuzione della
responsabilità tra teoria e prassi, in Ind. pen., 2006, pp. 42-48.
166
did nothing in the night time” conosce il criminale e nella migliore delle
ipotesi ne tollera passivamente le condotte illecite, nella peggiore le
agevola e sollecita). Anche un atteggiamento di totale accettazione o
mera tolleranza, da parte dei dirigenti350, di attività palesemente
rischiose costituisce una forma di istigazione al reato e di accettazione
del rischio dell'evento lesivo o pericoloso. In questo caso il crimine non
costituisce un'opzione sistematica, ma piuttosto il frutto di una sorta di
mentalità, di uno stile di vita scarsamente rispettoso delle regole351.
La seconda tipologia di colpevolezza citata dalla Relazione, detta
colpevolezza di organizzazione in senso stretto o, secondo il linguaggio
statunitense colpevolezza preventiva, colloca la rimproverabilità dell'ente nel
difetto di organizzazione. Essa ricomprende tutte le ipotesi in cui il reato è
diretta conseguenza di un difetto organizzativo inerente i processi di gestione
interna dell'ente. In questi casi l'ente è considerato colpevole se si dimostra che
non ha adottato misure organizzative dirette a evitare la commissione, al
proprio interno, di reati del tipo di quello che si è verificato; ovvero qualora si
dimostri che, nonostante siano state adottate, tali misure non siano state
350
Per dirigenti si intende non solo chi formalmente ricopre tale qualifica, ma anche,
secondo la teoria cd. funzionale, effettivamente svolge tale funzione dirigenziale. Si
considerano, dunque i vertici dell'organizzazione coloro a cui sono riconducibili le scelte
fondamentali di politica aziendale, sia per quanto riguarda l'organizzazione della struttura,
sia per quanto riguarda l'individuazione degli obiettivi da raggiungere e gli interessi da
difendere. Si tratta di quei soggetti che svolgono un ruolo sostanziale nell'impostazione della
gestione e del controllo dell'ente e delle sue unità funzionali.
351
Autorevole dottrina, riprendendo la dottrina americana (P. BUCY, Corporate Ethos: a
standard for imposing corporate criminal liability, op. cit.) definisce questo modello di
colpevolezza come una manifestazione della cultura di impresa o “corporate ethos”, questa
si collocherebbe su un gradino inferiore rispetto a quella propriamente derivante dalle scelte
di politica di impresa, facendo riferimento a forme di criminalità che si originano dal
contesto “ambientale” dell'impresa, ovvero sono il prodotto di una mentalità, uno stile di
vita, di usi e regole radicate nella persona giuridica (DE MAGLIE, L'etica e il mercato, op.
cit. p. 361). Data la sua evidente genericità, molti studiosi (oltre a BUCY, STONE e più
recentemente SCHEIN, VANCE e STUPACK) hanno cercato di precisarne il contenuto che
è stato per la prima volta formalizzato a livello legislativo nel Criminal Code Act Australiano
del 1995, dove il criterio in esame viene definito come: «una mentalità, un insieme di usi, di
regole, un modo di gestire e di condurre l'azienda che è radicato generalmente all'interno
della struttura della persona giuridica o nell'ambito di quella parte dell'impresa in cui si
svolgono le attività di rilievo.
167
adeguatamente implementate o comunque risultino, secondo un giudizio ex
ante (cd. prognosi postuma), insufficienti a prevenire il reato. Il pilastro su cui
si regge tale forma di colpevolezza è costituito dai compliance programs,
ovvero specifici ed effettivi programmi di autodisciplina diretti a prevenire,
scoprire e denunciare le condotte criminose352. Il carattere premiale di questo
modello di imputazione può (teoricamente) addirittura consentire di escludere
la colpevolezza della persona giuridica qualora essa dimostri di aver adottato
un efficace modello di autodisciplina.
La dottrina ha sviluppato anche un modello di colpevolezza non citato
dalla Relazione, di ispirazione statunitense: la colpevolezza di reazione o
colpa proattiva (reactive fault)353. In questo caso si imputa all'ente di non aver
adottato misure correttive in risposta alla commissione del fatto illecito. Il
rimprovero riguarda quindi il momento successivo alla commissione del reato
e consiste nella mancata reazione che ci si sarebbe aspettati dalla societas.
L'ambito di applicazione di quest'ultima categoria sarebbe riconducibile alla
tutela di beni collettivi, quali ad esempio l'ambiente, la cui lesione non si
verifica di regola con una sola condotta, ma con una pluralità di
comportamenti distribuiti nel tempo, irrilevanti se singolarmente considerati,
ma sommati tra loro idonei a risultare offensivi fino a diventare fattispecie
tipiche354.
352
La colpevolezza di organizzazione presenta notevoli vantaggi, in particolare quello di
promuovere, attraverso i codici di autoregolamentazione, una cultura di impresa non solo
rispettosa della legge, ma anche specialistica, mirata a neutralizzare le fonti del rischio di
reato; favorisce inoltre la collaborazione tra Stato e impresa nella prevenzione dei reati.
353
. B. FISSE - J. BRAITHWAITE, Corporations, Crime and Accountability, Cambridge
University Press, op.cit., Per una definizione completa secondo la dottrina americana si
rinvia al § 2.2.2, lettera C), in questo capitolo.
354
La particolare struttura di tali fattispecie rende di fatto impraticabile il ricorso sia alla
colpevolezza verticistica (relativa alla politica di impresa) che a quella preventiva (colpa di
organizzazione in senso stretto); essendo incentrata sulla teoria dell'identificazione, la prima
è infatti è facilmente eludibile attraverso una sostituzione del personale dirigente, così non vi
sarebbe mai responsabilità della persona giuridica perché mai vi potrebbe essere una persona
fisica di vertice responsabile dell'intera serie di procedimenti. Altrettanto inefficace, in tali
situazioni, sarebbe la colpa preventiva o di organizzazione in senso stretto, in quanto la
fallacia dei modelli di autodisciplina si manifesterebbe quando ormai l'offesa è prodotta, così
sarebbe sistematicamente vanificata la funzione preventiva della colpa di organizzazione.
168
Una volta tracciato il quadro dottrinale sulla colpevolezza dell'ente, è
utile provare a comprendere a quale di questi modelli delineati intendesse
riferirsi il legislatore italiano nel d.lgs. 231/2001.
Sicuramente la “normativa 231” non ha come target principale le
imprese criminali di cui al primo tipo di colpevolezza analizzato, in particolare
quello che qui si è contrassegnato con la lettera a). L'ipotesi di una società
intrinsecamente illecita, ovvero funzionalmente destinata a porre in essere
attività delittuose, non sembra costituire il riferimento primario della
normativa in esame. La riprova starebbe all'art. 16 comma terzo del d.lgs.
231/2001, il quale si riferisce esattamente a questo tipo di imprese e prevede
per queste la comminatoria della più drastica sanzione interdittiva: la sanzione
definitiva dell'esercizio dell'attività. Si tratta quindi di un'eventualità tenuta in
considerazione sì dal legislatore del d.lgs. 231/2001, ma solo come ipotesi
marginale, che non costituisce affatto l'archetipo societario che si intende
punire355. A sostegno di questa tesi, si noti come dalla lettura sistematica
dell'art. 16 comma terzo del decreto in esame con le norme contenute alla
Sezione I, si possa agilmente ricavare un argomento a supporto della natura
essenzialmente colposa dell'addebito formulato nei confronti del soggetto a
Quindi, per sanzionare gli enti in presenza di reati di questo tipo, non vi sarebbe altro modo
che accertare la colpevolezza non al momento o prima della realizzazione della condotta, ma
dopo di essa, valutando appunto la reazione che la persona giuridica ha avuto dopo la
realizzazione del fatto tipico. Si tratta di verificare quali contromisure (es. rafforzamento di
controllo interno, modificazioni strutturali, ecc.) la persona giuridica ha adottato nel periodo
immediatamente successivo alla condotta. In questo modo, la mancata o insufficiente
reazione, dolosa o colposa, integrerà la colpevolezza dell'ente.
355
In questo senso si veda N. SELVAGGI, L'interesse dell'ente collettivo: quale criterio di
ascrizione della responsabilità da reato, Jovene, 2006, p. 130. Nell'ipotesi di cui all'art. 16
comma terzo del d.lgs. 231/2001 infatti l'organizzazione di impresa non è colposamente
deficitaria, bensì volutamente preordinata, in ragione della politica criminosa condivisa dai
suoi membri, alla perpetrazione del reato. Tale criterio di imputazione in realtà è “nascosto”
nelle pieghe della Sezione II del d.lgs. 231/2001: oltre che all'art. 16 comma terzo, è presente
anche in diverse ipotesi di parte speciale, ad es. nell'art. 25 quater comma terzo, quando
“l'ente o una sua unità organizzativa viene stabilmente utilizzato allo scopo unico o
prevalente di consentire o agevolare la commissione” di delitti con finalità di terrorismo o
eversione e in materia di pratiche di mutilazione di organi genitali femminili (art. 25
quater.1); ancora nelle ipotesi delittuose di criminalità organizzata di cui all'art. 24 ter ed
infine nelle fattispecie criminose di associazione per delinquere con carattere trasnazionale
(di cui all'art. 10 commi secondo e quarto della legge 146/2006).
169
sensi degli artt. 6 e 7 del decreto citato; solo nell'ipotesi-limite in cui l'ente, e
la
propria
struttura
organizzativa,
sia
preordinato
unicamente
alla
commissione di reati, secondo una politica fatta propria dal consorzio
criminale, non ha nemmeno senso il messaggio punitivo trasmesso dal
legislatore. L'impossibilità di soddisfare, nei confronti dell'impresa illecita, le
istanze di prevenzione e di riabilitazione che informano la disciplina
considerata conduce necessariamente all'irrogazione della dissoluzione
definitiva,
la
quale,
assolvendo
unicamente
ad
una
funzione
di
neutralizzazione, nemmeno può considerarsi propriamente punitiva: lo
scioglimento dell'organizzazione, per tentare un parallelismo con le sanzioni
penali rivolte alle persone fisiche, si atteggia a misura di sicurezza destinata ad
avere un'applicazione perpetua per il permanere della pericolosità sociale del
soggetto sottopostovi. L'ipotesi dell'impresa illecita si pone quindi al confine
della disciplina della responsabilità da reato degli enti, la quale, in realtà, vede
come naturali destinatari le società lecite.
Passando ad una valutazione circa il modello di colpevolezza che si è
indicato lettera b), non si può evitare di osservare che il ricorso alla
colpevolezza come manifestazione della cultura di impresa non appare
convincente. Infatti, nonostante i possibili sforzi che un legislatore attento
possa fare per rendere una tale categoria compatibile con il principio di
tassatività e con l'art. 25 Cost. comma secondo, rimane sempre in agguato il
pericolo per la legalità a causa dei possibili abusi che un concetto così
generico potrebbe consentire nella prassi applicativa. La nozione di cultura di
impresa, infatti, facendo riferimento a fattori “ambientali”, quali gli usi o il
modo di gestire l'impresa, presenta pericoli analoghi a quelli segnalati dalla
dottrina in relazione alla eventuale introduzione nel nostro ordinamento della
fattispecie di concussione ambientale, le cui analogie con il concetto di
corporate culture sono evidenti356.
356
Circa le problematiche relative alla concussione ambientale si veda Cass. pen., sez. VI, 14
settembre 2012, n. 35269, con nota di F. VITALE, in www.neldiritto.it.
170
Infine, anche la colpevolezza di reazione non sembra adattarsi del tutto
all'ordinamento italiano: essa risulta evidentemente ritagliata in modo
sartoriale sul modello processuale americano, il quale (come si è già anticipato
e come si vedrà in seguito) fa largo uso e spesso abuso di DPA e NPA, ovvero
di accordi tra pubblica accusa ed ente imputato che evitano a quest'ultimo il
procedimento penale, in un'ottica di piena cooperazione post factum 357.
357
Circa la genesi e l'opportunità dell'uso del concetto di reactive fault nel contesto
dell'ordinamento statunitense si rinvia in questo capitolo al § 2.2.2. lett. C), nonché al cap. II,
§ 3. La dottrina italiana prevalente si mostra critica invece circa l'adattamento di questo
modello di colpevolezza all'ordinamento italiano: Cfr. VIGNOLI, La responsabilità ‘da
reato’ dell'ente collettivo fra rischio di impresa e colpevolezza - II parte, op. cit. che afferma
criticamente: «la colpevolezza di reazione, ma forse sarebbe più opportuno definirla per
mancata reazione, non appare di facile comprensione»; anche CENTONZE, La coregolamentazione della criminalità di impresa, op. cit, rilevando criticamente come in Italia
manchi completamente una valorizzazione della cooperazione post-factum, induce
decisamente a rafforzare l'idea di chi scrive della difficoltà di applicazione del criterio della
colpevolezza di reazione al contesto italiano (si rinvia al cap. II, § 3).
Contra c'è chi non ha mancato di proporre in ottica de jure condendo di utilizzare la
categoria della reactive fault anche in Italia e non solo per i reati per cui nasce (come quelli
ambientali, a condotte plurime e continuative nel tempo), in quanto, secondo questa corrente
di pensiero, prevenire i reati tramite i modelli organizzativi sarebbe sempre e comunque
impossibile e dunque sarebbe auspicabile piuttosto una collaborazione post factum “reattiva”
fatta di accordi tra pubblica accusa ed ente imputato sul modello americano, che implichino,
come oggetto della negoziazione e quindi dello “scambio” tra le parti, una “reazione”
dell'ente al reato in cambio dell'archiviazione (negli Stati Uniti) o perlomeno della
sospensione condizionale della pena (ipotesi meno fantasiosa se prospettata in Italia e più
simile al probation americano, che comunque comporta l'esercizio dell'azione penale con
relativo stigma penale conseguente).
Argomento forte di chi sostiene l'opportunità della teoria della colpevolezza di
reazione anche in Italia è il fatto che essa permetterebbe di superare agilmente il punto
dolente della colpa di organizzazione preventiva: il giudizio sull'idoneità e efficace
attuazione dei modelli organizzativi. La legge infatti non fornisce indicazioni sul contenuto
dei modelli, né indicazioni su come debba essere condotto l'accertamento della loro idoneità
ed effettività; inoltre va aggiunto il fatto che al momento quasi non esistono pronunce di
merito sulla valutazione del modello (la giurisprudenza è vasta solo in materia di misure
cautelari) e le poche presenti liquidano il modello come non idoneo o non effettivamente
implementato, negando praticamente nel cento per cento dei casi l'esimente, al momento
pura utopia su carta, pur prevista dall'art. 6 d.lgs. 231/2001 (e assente invece nella normativa
americana). Il sistema della colpa di organizzazione in senso stretto o preventiva sarebbe
quindi soggetto al pericolo del temuto circolo vizioso: l'accadimento del reato implica
necessariamente una inidoneità del modello e dunque una sicura responsabilità dell'ente. Il
giudice sarebbe così indotto in tentazione da una valutazione ex post, invece che da una
corretta valutazione ex ante (cd. giudizio di prognosi postuma). L'assunzione del modello di
colpevolezza della colpa di reazione eliminerebbe, secondo questa dottrina minoritaria, tale
pericolo.
Si veda a sostegno della reactive fault: negli Stati Uniti, FISSE - BRAITHWHITE,
Corporations, Crime and Accountability, op.cit., che la definiscono a pp. 43 ss con un
171
Sembra quindi che il legislatore italiano abbia voluto fare riferimento al
modello di colpevolezza che qui si è scelto di definire come colpevolezza di
organizzazione in senso stretto358. Sulle società grava un «dovere di autoorganizzazione» il cui mancato adempimento fonda la «colpevolezza di
organizzazione» e permette di «rivolgere un rimprovero, di taglio
esempio: «se una compagnia mette in atto un processo industriale che espone i lavoratori al
contatto con l'absesto (...) la società non è colpevole se non emerge che sapeva o doveva
sapere del rischio relativo. Ma se la compagnia successivamente si accorge dei rischi e
omette di adottare le misure correttive, allora è sicuramente colpevole, in base al modello di
reactive fault»; si pensi al noto “Pinto case”, in cui la Ford, nonostante avesse realizzato, in
seguito a numerosi incidenti mortali, che il motore della Ford Pinto fosse difettoso e
tendesse, nel tempo, ad esplodere, decise di non sospendere la produzione e/o ritirare le auto
già sul mercato, in quando secondo un lucido quanto inquietante calcolo del management
della corporation, il costo di tale operazione doverosa sarebbe stato molto maggiore rispetto
a quello collegato alle richieste di risarcimento delle vittime.
Circa la reactive fault si veda anche J. GOBERT, Corporate Criminality: four
models of fault, op. cit., pp. 407 ss; DE MAGLIE, L'Etica e il mercato, op. cit., pp. 373 ss;
A. ALESSANDRI, Diritto penale ed attività economiche, Il Mulino, 2010, pp. 217 ss, che
afferma come la reactive fault potrebbe essere una soluzione al problema della valutazione
giudiziale dei compliance programs in quanto è impensabile che il modello organizzativo
aziendale, secondo l'Autore, possa essere in grado di anticipare virtuosamente tutti i possibili
sbocchi illeciti dell'attività di impresa; ancora sull'opportunità di optare per la soluzione
proposta dalla teoria della colpa di reazione si veda C. WELLS, Corporation and Criminal
Responsibility, op. cit., p. 659, nonché LOTTINI, La responsabilità penale delle persone
giuridiche nel diritto inglese, op. cit., p. 155. Su questo punto si veda più approfonditamente
anche Cap. I, § 2.2.2 lett. C) nonché Cap. II, § 3.3.
358
Nel senso di una ricostruzione dell'addebito nei confronti dell'ente collettivo in termini di
colpa di organizzazione si veda per la giurisprudenza di legittimità, Cass., Sez. VI, 9 luglio
2009, n. 36083 e, più di recente, Cass. Sez. VI, 18 febbraio 2010, n. 27735, in
www.rivista231.it.
Una colpa di organizzazione, intesa come difetto organizzativo dell'apparato è già
nota al nostro ordinamento: nella responsabilità civile dell'Amministrazione discendente da
atto illegittimo, il rimprovero mosso all'organizzazione non è riferibile al singolo funzionario
che ha materialmente assunto il provvedimento, bensì all'apparato. La sentenza della
Cassazione a Sezioni Unite del 22 luglio del 1999, n. 500 è nota perché superando la
consolidata giurisprudenza contraria ha ammesso il risarcimento del danno da lesione di
interessi legittimi. La pronuncia è parimenti importante perché opera una ricostruzione
dell'illecito aquiliano della P.A. La Suprema Corte esclude la coincidenza tra atto illegittimo
e condotta illecita. Al fini dell'imputazione della responsabilità non è sufficiente il mero dato
obiettivo della illegittimità del provvedimento, ma è indispensabile accertare l'illiceità della
condotta. L'ampliamento della gamma di situazioni giuridiche soggettive la cui lesione è
risarcibile comporta come conseguenza un più accurato accertamento dell'elemento
psicologico. È stata così individuata, anche se in modo non univoco, una colpa
dell'Amministrazione che prescinde dal singolo funzionario, con conseguente esclusione di
ogni metafora organica, e che si sostanzia in una disfunzione della struttura, inadeguata
organizzazione, cattiva gestione del personale, controlli interni insufficienti.
172
squisitamente normativo, all'ente»359: la società viene sanzionata perché
l'organizzazione dell'impresa non era appropriata alla tutela degli interessi
coinvolti dalla sua attività. È dunque una colpa «colma di istanze preventive»
(detta anche colpevolezza preventiva) 360.
Secondo parte della dottrina la “politica di impresa” citata dalla Relazione
Ministeriale viene a coincidere con la “colpa di organizzazione”361; ne
359
C.E. PALIERO - C. PIERGALLINI, La colpa di organizzazione, op. cit., p. 271.
ALESSANDRI, Riflessioni penalistiche sulla nuova disciplina, in A. ALESSANDRI (a
cura di) La responsabilità amministrativa degli enti, Giuffrè, 2002, p. 43. In base alla teoria
generale del reato, perché sia legittimo il ricorso alla sanzione penale, non basta la
commissione di un fatto tipico e antigiuridico da parte di un soggetto, ma occorre che tale
fatto sia anche “personalmente” rimproverabile al suo autore. L'insieme dei criteri su cui
fondare e graduare tale rimprovero “personale” è compendiato dalla dottrina sotto la formula
di “colpevolezza”. In armonia con l'art. 25 Cost. comma secondo, la colpevolezza deve
intendersi per il fatto commesso: è inammissibile la figura della colpa d'autore nella duplice
versione della “colpevolezza per carattere” e “colpevolezza per la condotta di vita”.
Si intende ormai superata la concezione psicologica della colpevolezza, intesa come
valutazione del solo nesso psichico, doloso (volontà) o colposo (prevedibilità), tra l'agente e
il fatto; viene accolta invece la colpevolezza normativa che consiste nel giudizio di
rimproverabilità per l'atteggiamento antidoveroso della volontà che era possibile non
assumere e quindi evitare. La colpevolezza normativa non si esaurisce nella valutazione del
solo nesso psichico, ma postula la ponderazione di altri elementi come la capacità di
intendere e volere, la conoscenza o conoscibilità del divieto penale e le circostanze
concomitanti, che influiscono sull'agente in termini di maggiore o minore esigibilità. Mentre
la colpevolezza psicologica non consentiva di graduare la responsabilità, in quanto il nesso
psichico, se esistente, è uguale e fisso in tutti i casi, al contrario la colpevolezza normativa
funge anche da criterio di commisurazione giudiziale della pena. In definitiva, la
colpevolezza oltre a essere un requisito del reato e a fondare il potere punitivo si pone anche
come criterio di commisurazione della pena, essa limita il potere punitivo dello Stato
impedendo ogni strumentalizzazione per fini utilitaristici di politica criminale.
Il principio di colpevolezza è stato costituzionalizzato con la sentenza 364 del 1988
che ha ampliato l'accezione minima dell'art. 27 Cost. per cui la “responsabilità penale è
personale” (sancendo quindi il divieto di responsabilità per fatto altrui): essa dovrebbe
invece intendersi come “la responsabilità penale è personale e colpevole”. Decisivo ai fini di
tale costituzionalizzazione del principio di colpevolezza è stato il raccordo tra il primo
comma e il terzo dell'art. 27 Cost.: tali due commi vanno letti in collegamento; infatti, dice la
Corte del 1988: «non avrebbe senso la ‘rieducazione’ di cui non essendo almeno in
‘colpa’(rispetto al fatto), non ha, certo, ‘bisogno’ di essere rieducato».
361
Si ricordi la frase della Relazione, §3.3, sopra riportata, per «il reato dovrà costituire
anche espressione della politica aziendale o quanto meno derivare da una colpa di
organizzazione». Concordi nel considerare coincidenti tali due espressioni e quindi di
utilizzare il criterio della colpa di organizzazione anche per reato commesso da apicali (e non
solo per quelli ex art. 7 d.lgs. 231/2001 commessi da subordinati) abbandonando così il
controverso (e antropomorfico) criterio dell'immedesimazione organica per tali reati ex art. 6
d.lgs. 231/2001: A. MANNA, La cd. responsabilità amministrativa della persona
giuridica:un primo sguardo di insieme, in Riv. trim. dir. pen. ec., 2002, pp. 509 ss.; C.
PIERGALLINI, Societas delinquere non potest: Riflessioni sul recente (contrastato)
360
173
consegue che è il difetto organizzativo a giustificare il rimprovero della
persona giuridica, tanto nell'ipotesi di reato commesso dal vertice aziendale,
quanto nell'ipotesi di reato commesso dal dipendente: ciò è giustificato anche
da una frantumazione su base orizzontale dei centri decisionali ormai tipica
delle corporations. In questa ottica, la bipartizione lessicale utilizzata nella
Relazione Ministeriale assume la sola valenza di messaggio politicocriminologico, ovvero serve esclusivamente ad evidenziare il legame tra la
societas e il suo top management; ciò legittimerebbe quindi la previsione
dell'inversione dell'onere probatorio nel caso di reato commesso da apicale
(art. 6 d.lgs. 231/2001), distinguendolo così anche a livello processuale dal
legame meno stringente dell'ente con il subordinato di cui all'art. 7 del decreto
in esame. Come afferma la Relazione Ministeriale è infatti il rapporto di
immedesimazione organica tra vertice e società a giustificare l'inversione
dell'onere della prova, il quale viene a gravare sull'ente imputato362. La
superamento di un dogma, in Questione giustizia, n. 5, 2002, pp. 589 ss. Contra D'ACRI, La
responsabilità delle persone giuridiche derivante da reato, op. cit., pp. 266-267 e 270-271 in
cui l'Autore preferisce schierarsi cautamente ancora a favore del datato e rassicurante criterio
dell'immedesimazione organica, rispetto a quello innovativo e potenzialmente più
problematico della colpevolezza di organizzazione in senso stretto (deficit organizzativo).
362
La Relazione Ministeriale afferma: «si parte dalla presunzione (empiricamente fondata)
che, nel caso di reato commesso da vertice, il requisito soggettivo di responsabilità dell'ente
sia soddisfatto, dal momento che il vertice esprime e rappresenta la politica dell'ente; ove ciò
non accada dovrà essere la societas a dimostrare la sua estraneità, e ciò potrà fare soltanto
provando la sussistenza di una serie di requisiti tra loro concorrenti». Così Relazione
Ministeriale allo schema di decreto legislativo recante: «Disciplina della responsabilità
amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di
personalità giuridica» in AA.VV., La responsabilità amministrativa degli enti, IPSOA,
Milano, 2002, p. 20.
Non deve stupire il fatto che una fattispecie punitiva sia congegnata in modo da
addossare in capo all'imputato l'onere della prova della propria innocenza: nel diritto penale
infatti hanno cittadinanza (nonostante le critiche) i reati di sospetto, i quali, appunto si
contraddistinguono per la peculiarità di contenere una regola di giudizio opposta a quella che
discenderebbe dal rigoroso rispetto dell'art. 27 comma secondo della Costituzione. Il
meccanismo analogo alla causa di esclusione della punibilità (due diligence defense)
ricorrente negli ordinamenti di common law è stato ritenuto compatibile con l'art. 6 CEDU:
la Corte Europea infatti ha ammesso «a certe condizioni» la presunzione di colpa; Cfr. D.
PULITANÒ, Personalità della responsabilità: prospettive e problemi, in Riv. it. dir. proc.
pen. 2012, pp. 1243 ss. Tuttavia tale inversione dell'onere della prova in un processo
sostanzialmente penale non incontra il favore della dottrina maggioritaria e sono state
avanzate proposte di legge che fanno gravare la probatio diabolica sulla pubblica accusa,
piuttosto che sull'ente imputato. Cfr. M. PANSARELLA, Proposta di legge n.3640:
174
conclusione appare tuttavia incongruente rispetto alle premesse: si afferma in
principio la necessità di individuare una colpevolezza normativa ed autonoma
dell'ente, quale elemento soggettivo della responsabilità di impresa, e
successivamente se ne postula la sussistenza in virtù dell'immedesimazione
organica, cui consegue tra l'altro l'inversione dell'onere probatorio363.
modifiche al d.lgs. 231/2001 incluse ed escluse, in La responsabilità amministrativa delle
società e degli enti, n. 1, 2011, pp. 163 ss.
363
Infatti, molta parte della dottrina (cfr. ad esempio, M. RIVERDITI, La responsabilità
degli enti: un crocevia tra repressione e specialprevenzione. Circolarità ed innovazione dei
modelli sanzionatori, Jovene, 2009, p. 212) propone da tempo una ricostruzione del
dualismo discendente dagli artt. 6 e 7 del d. lgs. 231/2001, in termini di sostanziale
corrispondenza con la distinzione, valevole per gli individui, tra reato doloso e quello
colposo. Nel caso dell'illecito commesso da apicale, quest'ultimo trasferirebbe
immediatamente sull'ente, per via dell'immedesimazione organica, il proprio dolo; viceversa,
qualora l'attività criminosa sia addebitabile al dipendente subalterno, il rimprovero per l'ente
discenderebbe dall'agevolazione colposa, consistente nell'inosservanza degli obblighi di
direzione e vigilanza riscontrabile nel management (culpa in vigilando).
Secondo chi scrive questa interpretazione va rifiutata. In entrambi i casi (sia che
l'agente sia un apicale, sia che sia un sottoposto) il modello di colpevolezza dovrebbe essere
quello che basa il rimprovero sul deficit organizzativo: sembra infatti piuttosto che la
differenza tra le due norme sia giustificata solo dalla diversa distribuzione del carico
probatorio. Cfr. C.E. PALIERO, Dieci anni di corporate liability nel sistema italiano: il
paradigma imputativo nell'evoluzione della legislazione e della prassi, in Le Società,
IPSOA, fasc. speciale 12s, 2011, p. 18, sottolinea che anche la Cassazione (Cass. sez. VI, 16
luglio 2010, n. 27735) «pur aderendo apparentemente alla tesi dell'immedesimazione
organica (...) tuttavia corregge il tiro (nella sostanza), esigendo la sussistenza, in ogni caso per muovere un rimprovero all'ente - di una colpa di organizzazione propria dell'ente stesso
quale necessario elemento ascrittivo della responsabilità colpevole». Anche la nota sentenza
Impregilo (Trib. Milano 17 novembre 2009, G.U.P. Manzi), procede Paliero, salda «alla
responsabilità ex crimine dell'ente al principio di colpevolezza classicamente inteso» e
esprime il suo giudizio favorevole «questo paradigma interpretativo a mio giudizio riesce ad
adeguare il modello imputativo della responsabilità ai canoni penalistici del giudizio di
colpevolezza, senza tuttavia neutralizzare (...) la funzionalità pratica del paradigma
punitivo».
In argomento si riporta l'interessante ed originale riflessione di DE VERO, il quale
coglie l'occasione di fare il punto circa l'art. 6 d.lgs. 231/2001, dopo le proposte di modifica
al d.lgs. 231/2001; si tratta di due proposte molto simili: lo schema di modifica al d.lgs.
231/2001 elaborato dall'AREL (Agenzia di Ricerca e Legislazione) poi recepito nel d.d.l. del
Ministero di Giustizia (consultabile su DeJure, 6/2010) e la seconda proposta di origine
parlamentare (d.d.l. n. 3640, proposto dall'On. Della Vedova, intitolato Proposta di
modifiche al d.lgs. 8 giugno 2001 n. 231. Pur non condividendo il contenuto delle proposte
citate (come la maggior parte della dottrina), miranti a certificare a priori il modello
organizzativo, escludendo sostanzialmente il giudice dal sindacato di idoneità e creando non
pochi problemi circa chi possa essere eletto a certificatore, senza rischiare di creare un
“mercato del modello organizzativo”, l'Autore conferma la necessità di una modifica all'art.
6 d.lgs. 231/2001. Egli definisce l'art. 6 citato un articolo «di complessa formulazione» e
afferma che «al di là della immediata censura di inversione dell'onere della prova a carico
dell'ente, l'incerta combinazione dei criteri di imputazione è testimoniata dal rilievo non
175
Proprio tale ultimo punto ha condotto larga parte della dottrina a
ritenere escluso il deficit organizzativo dagli elementi costitutivi dell'illecito, la
prova dei quali dovrebbe incombere sull'accusa. L'adozione di adeguate
cautele (modelli organizzativi) influirebbe quindi sulla sola punibilità della
persona giuridica, mentre resterebbe ferma l'antigiuridicità della condotta364.
decisivo assunto dall'adozione ed efficace attuazione dei modelli organizzativi, autentico
perno della (esclusione di una) colpa d'organizzazione». L'Autore arriva a proporre
l'abrogazione dell'art. 6 in questione, proponendo due vie risolutive, una delle quali prevede
appunto l'utilizzo del criterio della colpa d'organizzazione sia per i reati commessi da
sottoposti, che per quelli commessi da apicali, eliminando il concetto di immedesimazione
organica, ma eliminando anche il rilievo liberatorio per l'ente della “fraudolenta elusione”
dell'apicale attualmente prevista dall'art. 6, che secondo l'Autore «svaluta la portata della
colpevolezza d'impresa»; la seconda proposta dell'Autore, al contrario, prevedrebbe al posto
dell'unificazione dei criteri di imputazione, la loro separazione: immedesimazione organica
per il reato commesso dall'apicale, deficit organizzativo (e dunque colpa di organizzazione)
per quelli commessi da subordinati. Cfr. G. DE VERO, Il progetto di modifica della
responsabilità degli enti tra originarie e nuove aporie, in Dir. pen. proc., 2010, n. 10, p.
1137, in particolare pp. 1139, 1140 e 1141. Circa le proposte de jure condendo della migliore
e più recente dottrina riguardo il problema, ancora irrisolto, della valutazione giudiziale
dell'idoneità del modello a cui la bocciata proposta AREL ha tentato di rispondere si veda
infra, in particolare, in questo capitolo, § 3.3.
Ancora, in dottrina, a tal proposito, si è arrivati ad auspicare l'eliminazione della
distinzione tra apicali e subordinati qualora, come si deve, si accolga il modello di
colpevolezza di organizzazione in senso stretto (colpevolezza preventiva). Infatti, tale
dicotomia sarebbe niente altro che un retaggio di una teoria ancora antropomorfa, quella
dell'immedesimazione organica, inadatta alla persona giuridica. In questo senso G. DE
VERO, Struttura e natura giuridica dell'illecito dipendente da reato. Luci e ombre
nell'attuazione della delega legislativa, in Riv. it. dir. proc. pen., pp. 1131 ss, il quale senza
giungere ad una denuncia di eccesso di delega, evidenzia che il legislatore delegante con
riguardo al reato dell'apicale «non richiedeva alcun criterio di imputazione aggiuntivo
rispetto al fondamentale requisito dell'interesse o vantaggio della societas». Anche secondo
VIGNOLI, La responsabilità da reato dell'ente collettivo fra rischio di impresa e
colpevolezza - II parte, op.cit., si ha ormai un affievolimento della distinzione tra apici e
dipendenti in quanto «la realtà delle organizzazioni industriali sembra propendere verso un
sostanziale superamento della dicotomia prevista dal legislatore che rischia di risultare
agevole e cartesiana solo sotto il profilo teorico dimostrandosi invece sorpassata, e forse
anche fuorviante dal punto di vista pratico». La scelta di una diversa disciplina per apicali e
dipendenti attrae ormai molte critiche: un modello di tipo verticistico che presenti tale rigida
ripartizione è ormai superato; l'azienda moderna individua centri decisionali ad ogni livello
organizzativo. Inoltre, tale distinzione appare comunque non applicabile qualora l'autore
materiale (persona fisica) della condotta non risulti individuato. In questo caso la dicotomia
disciplinare apici-dipendenti è priva di effetto.
364
In dottrina si registrano due diverse interpretazioni della formula contenuta nell'incipit
dell'art. 6 d.lgs. 231/2001 “l'ente non risponde se prova che ...”. Una prima ricostruzione
considera la previsione in commento come un “meccanismo scusante” (che esclude la
colpevolezza) con inversione dell'onere della prova (in questo senso: G. DE VERO, La
responsabilità penale delle persone giuridiche, Giuffrè, 2008, p. 180; G. DE SIMONE, I
profili sostanziali della cd. responsabilità amministrativa degli enti: la parte generale e la
176
parte speciale del d.lgs. 8 giugno 2001, n. 231, in AA. VV. La responsabilità degli enti per
gli illeciti amministrativi dipendenti da reato, Cedam, 2002, p. 107; C.E. PALIERO, La
responsabilità delle persone giuridiche: profili generali e criteri di imputazione, in AA.
VV., Il nuovo diritto penale delle società, Giuffrè, Milano, 2002, p. 55).
Secondo un altro orientamento l'ossequio al principio di presunzione di non
colpevolezza condurrebbe a collocare i modelli organizzativi non sul piano dei presupposti
positivi di attribuzione della responsabilità, ma su quello della punibilità (essi sarebbero
dunque una causa di esclusione della punibilità). Quest'ultima lettura consentirebbe di
spiegare la previsione di cui all'art. 6 comma quinto del decreto in esame, per cui l'esonero
non è totale, non essendo esclusa la sanzione della confisca del profitto. Quindi una corretta
compliance configurerebbe un fatto impeditivo della responsabilità, mentre a nulla
rileverebbe sotto il profilo della tipicità del fatto ascritto (in questo senso: G. COCCO,
L'illecito dipendente da reato ed il ruolo dei modelli di prevenzione, in Riv. it. dir. proc.
pen., 2004, p. 97 ss.; P. IELO, Compliance programs: natura e funzione nel sistema della
responsabilità degli enti. Modelli organizzativi ex. d.lgs. 231/2001, in La responsabilità
amministrativa delle società e degli enti, n. 1, 2006, pp. 99 ss; A. MEREU, La responsabilità
da reato degli enti collettivi e i criteri di attribuzione della responsabilità tra teoria e prassi,
in Ind. pen., 2006, p. 64). Che si tratti di mere cause di esclusione della punibilità è sostenuto
anche da R. RAZZANTE - F. TOSCANO, La responsabilità amministrativa delle persone
giuridiche, Giappichelli, 2003, p. 94; D'ACRI, La responsabilità delle persone giuridiche
derivante da reato, op. cit., pp. 264-265 che afferma come non si tratti di scusante, ma «(...)
di una causa di esclusione della punibilità per almeno due ordini di motivi»: vi è un
inversione dell'onere della prova, per cui «non ricade sull'accusa l'onere di provare l'assenza
delle quattro condizioni» e in secondo luogo «perché questo meccanismo (...) non esclude la
confisca, anche per equivalente, del profitto che l'ente ha tratto dal reato; misura quest'ultima
che costituisce a tutti gli effetti una sanzione (...) e, quindi, la sua applicazione presuppone
necessariamente un riconoscimento di responsabilità»; P. FERRUA, Le insanabili
contraddizioni nella responsabilità d'impresa, in Dir. e giust., 2001, p. 80 osserva che la
colpa organizzativa non è elemento costitutivo della responsabilità dell'ente poiché non vi è
un onere probatorio a carico dell'accusa, ma si configura come un fatto impeditivo la cui
prova grava interamente sull'ente. In giurisprudenza sul mero valore esimente dei modelli
organizzativi, Trib. Milano, 3 novembre 2010, Giud. F. D'ARCANGELO, in
www.penalecontemporaneo.it., nonché in Cass. sez. VI, 9 luglio 2009, Mussoni e altri.
In particolare il g.u.p. F. D'ARCANGELO nella sentenza relativa all'udienza appena
citata (sentenza Trib. Milano 3 gennaio 2011) afferma che: «l'adozione di un idoneo modello
organizzativo e la sua efficace attuazione costituiscono non già elementi costitutivi della
regola della responsabilità da reato degli enti, ma assumono esclusivamente valenza
esimente di un illecito già completo in tutti i suoi elementi costitutivi». In sostanza, in questa
prospettiva di analisi, la colpa di organizzazione - benché continui ad essere ritenuta un
elemento indefettibile del modello imputativo - troverebbe una corretta collocazione
sistematica all'esterno del fatto tipico dell'ente, mentre la fattispecie ascrittiva della
responsabilità da reato dell'ente sarebbe ‘integrata esclusivamente dalla commissione di un
delitto presupposto nell'interesse o a vantaggio dell'ente da un soggetto in posizione apicale’.
(Cfr. per approfondire T.E. EPIDENDIO - G. PIFFER, La responsabilità degli enti per reati
colposi, in Le Società, fasc. speciale 12s, 2011, pp. 35 ss.). Parzialmente contra PALIERO,
Dieci anni di corporate liability nel sistema italiano, op. cit. p. 19: «siffatta interpretazione,
che pure assicura ampia funzionalità al modello punitivo e sembra conformarsi meglio delle
precedenti alla lettera del dettato normativo (nella specie, alla formulazione adottata nell'art.
6, d.lgs. n. 231/2001), non soddisfa tuttavia completamente le istanze costituzionali della
responsabilità colpevole, secondo cui l'elemento soggettivo dell'illecito (la colpa di
organizzazione) dovrebbe trovare specifico posizionamento all'interno della struttura del
177
Non potendo, in questa sede, approfondire le critiche (e le sempre più
convincenti confutazioni) originate dai legittimi dubbi relativi alle potenziali
tensioni tra la colpevolezza di organizzazione dell'ente e l'art. 27 Cost.365,
fatto tipico (dell'ente)». Nonostante l'Autore riconosca che «l'espediente è intelligente»,
sostiene che «i dubbi restano e il sentore di una sia pur ben mascherata ‘truffa delle etichette’
è difficile da lasciar dissipare»; PALIERO, infatti, ritiene che la teoria di D'ARCANGELO
sia un «escamotage di segno dommatico» evidente, in quanto: «una volta re-interpretato il
sintagma normativo come esimente che ‘elide’ (...) un fatto tipico completo di ogni
elemento, sia oggettivo che soggettivo, viene di conserva edulcorata la durezza della ‘regola
di inversione’, traducendola in un più blando e politically correct onere di allegazione (sulla
falsariga di come la giurisprudenza suole orientarsi, ad es. in tema di scriminanti)». Per
approfondire quest'ultimo punto si veda G. FIDELBO, La valutazione del giudice penale
sull'idoneità del modello organizzativo, in Le Società, fasc. speciale 12s, 2011, p. 61,62 in
cui si l'Autore afferma criticamente che: «l'onere probatorio si è trasformato in un semplice
onere di allegazione (...) lo sforzo probatorio che grava sull'ente finisce per consistere nella
dimostrazione che un modello è stato adottato, in quanto nella prassi è il giudice ad
accertarne l'efficienza e l'idoneità». Poiché il giudice per verificare l'efficacia del modello è
solito servirsi di una perizia collegiale, tale mezzo «finisce per assorbire o supplire agli oneri
probatori dell'ente, ridotti alla sola dimostrazione della tempestiva adozione del modello e
della sua astratta idoneità a ridurre il rischio-reato». Il ricorso alla perizia d'ufficio produce
quindi un minore impegno probatorio dell'ente che, al massimo, si limita a contrastare le
conclusioni negative del perito attraverso una consulenza di parte. Rispetto al rigore della
normativa, dunque, secondo l'Autore «si è verificato (...) uno spontaneo riequilibrio degli
oneri probatori».
Nonostante le autorevoli critiche, altra dottrina sostiene che ci si muova solo sul
piano della punibilità, sottolineando che infatti la confisca, che è una sanzione, rimane
sempre possibile; A. ASTROLOGO, La causa di non punibilità di cui agli artt. 6 e 7 del
d.lgs. 231/2001, in F. CURI (a cura di), Nuovo diritto penale del lavoro. Responsabilità per i
singoli e per gli enti, Bologna, 2011, pp. 71 ss., parla di vere e proprie cause di non
punibilità; Contra G. DE SIMONE, per il quale la ratio della norma è evidente: «si vuole
evitare che l'ente possa comunque ricavare un profitto da un reato commesso pur sempre a
suo vantaggio», se ne dovrebbe quindi desumere il connotato equitativo della previsione
della confisca, nonostante l'adozione di adeguate prevenzioni, in ID., I profili amministrativi
della responsabilità cd. amministrativa degli enti, ult. op. cit., 2002.
365
Le maggiori critiche circa l'asserito contrasto tra il concetto di responsabilità penale degli
enti e l'art. 27 Cost. riguardano il contrasto con il primo comma, nella sua accezione minima
(divieto di responsabilità per fatto altrui) e soprattutto nella sua versione ampliata (circa il
requisito della colpevolezza ai fini della responsabilità)dalla sentenza della Corte
Costituzionale 364/1988, nonché del comma terzo, relativo al fine rieducativo della pena
che, per i critici, non sarebbe possibile in caso l'imputato non fosse una persona fisica. Si
tratta di vecchie e polverose argomentazioni (teoria della finzione; al proposito si rinvia al
Cap. I, § 1), che pur se sostenute da autorevole dottrina, sono ben confutati da altra
altrettanto autorevole (ex multis, A. MANNA, La cd. responsabilità amministrativa, op. cit.,
p. 1109, a prescindere dal fatto che l'inesistenza di una volontà colpevole non è più
sostenibile in virtù della teoria organicistica - si rinvia al proposito alla cd. teoria della realtà
di Gierke, cap. I, § 1- l'Autore precisa che «l'assunto per cui l'ente non è soggetto capace di
esprimente un atteggiamento doloso o colposo, è legato ad una visione strettamente
psicologica del dolo o della colpa e che, quantomeno per la colpa, non è, del pari, più
sostenibile, essendo questa squisitamente normativizzata. Non è davvero sostenibile che
178
l'ente non esprima volontà. Questa è, infatti, rintracciabile nella volontà dell'assemblea, nella
volontà del consiglio di amministrazione che può, senza dubbio, adottare una politica
d'impresa nella quale rientri anche la commissione di un reato»; concorde G. MARINUCCI,
Il reato come azione. Critica di un dogma, Giuffrè, 1971, p. 175 che sottolinea la necessità
per il diritto penale di non essere statico, ma di evolvere con la storia della società civile;
ancora si osserva che in realtà, la fragilità delle obiezioni fondate sulla teoria della finzione,
nonché dall'assunto dell'incapacità di una condotta penalmente rilevante e sull'insussistenza
di una volontà sociale era già stata evidenziata da BRICOLA, Il costo del principio societas
delinquere non potest nell'attuale dimensione del fenomeno societario, in riv .it. dir. proc.
pen., 1970, p. 33; D'URSO, Verso una novità “antica”: la responsabilità penale della
persona giuridica, in Quaderni cost. 2002, n. 4, pp. 825 ss).
In particolare, l'obiezione riguardante il fine rieducativo della pena afferma che tale
rieducazione non sarebbe sostenibile nel contesto societario a causa della fungibilità dei
soggetti rappresentanti dell'ente (cd. teste di paglia), ci si dovrebbe accontentare di una
funzione special-preventiva della pena, che mira esclusivamente all'impedimento della
reiterazione del reato, senza alcun effetto deterrente general-preventivo oltre che rieducativo.
In realtà la dottrina ha evidenziato come il processo riabilitativo dell'ente avvenga attraverso
l'imposizione di una sanzione che restringe la libertà del soggetto criminale (ovvero la sua
capacità patrimoniale): il sistema rieducativo si fonda sulla premialità cautelare. Le misure
cautelari applicate contra societatem. Inoltre «l'adozione post factum di un modello
organizzativo idoneo a prevenire i reati della specie di quello verificatosi» testimonia
«interiorizzazione della norma penale» (così DE MAGLIE, L'etica e il mercato, op. cit, p.
381): solo nel caso in cui ciò non avvenga, la sanzione avrà solo un effetto specialpreventivo. Infine, l'incidenza della condanna pecuniaria sul bilancio societario dovrebbe
almeno in linea di principio costituire un meccanismo deterrente.
Un'ultima obiezione si fonda su quello che nella dottrina americana abbiamo visto
essere definito “overspill”, ovvero l'incidenza della punizione della persona collettiva sui
soci innocenti (ma anche su creditori o sui dipendenti della società, si pensi ai lavoratori di
Arthur Andersen che contestarono la condanna della società per paura di perdere il lavoro, e
in effetti, in quel caso, così fu, perchè la società collassò a causa della condanna, tra l'altro in
seguito revocata per vizi nell'istruttoria; si rinvia al Cap. II, § 3.2 e § 3.3 circa il mitizzato
“effetto Andersen”). L'obiezione non regge, in quanto tale incidenza negativa su “terzi
innocenti” è in re ipsa in ogni sanzione, qualsiasi pena può incidere su terze parti innocenti e
legate al condannato, succede anche quanto il condannato è una persona fisica.
L'assenza di volontà colpevole dell’ente è tratteggiata dai negazionisti in termini
assoluti, ma nel Cap. I, abbiamo visto come tale concetto sia in realtà relativo (ai tempi e alla
politica criminale) e tra l'altro non così “vetusto” come spesso si tende a credere. Anzi è vero
il contrario: è la responsabilità penale degli enti ad essere una «novità antica» (Cfr. D'URSO,
ult. op. cit.). Occorre una rilettura, una reinterpretazione (qualcuno propone addirittura una
modifica, si veda infra) dell'art. 27 Cost. alla luce del quadro, ormai consolidato, del d.lgs.
231/2001, della cui forza punitiva hanno preso recentemente atto anche le Sezioni Unite a
proposito del caso ThyssenKrupp (Cass. pen. SS. UU., 18 settembre 2014, n. 38343, Le
Sezioni Unite prendono coscienza del nuovo paradigma punitivo del “sistema 231”, in Le
Società, n. 2, 2015, pp. 215-229, con nota di R. BARTOLI che afferma come qui la Corte
«compie una serie di affermazioni di principio frutto di una consapevolezza ormai matura
che la responsabilità degli enti collettivi si basa su concetti e categorie giuridiche che devono
essere rielaborati, trasmutati, riconcepiti alla luce delle peculiarità del destinatario ente
corporativo, contribuendo così a forgiare un sistema che risulta altro rispetto al diritto penale
umano». Le Sezioni Unite, esercitano qui (finalmente) la loro funzione nomofilattica e
avvalorano la tesi di alcune sentenze di legittimità precedenti del tertium genus di
179
basti sottolineare come, a questo riguardo, parte della dottrina si è
recentemente spinta fino ad auspicare una modifica della Costituzione: «una
modifica dell'art. 27 Cost. non può essere considerata alla stregua di una
conditio sine qua non ai fini dell'introduzione nel nostro ordinamento di una
vera e propria responsabilità penale delle persone giuridiche. Essa, più
fondatamente, è dettata da motivi di opportunità, sia per guidare scelte future
del legislatore ordinario, sia per preservare le garanzie faticosamente
conquistate per l'individuo ed il volto costituzionale dell'illecito penale per
come pazientemente delineato dalla dottrina nel corso degli ultimi decenni»366.
Il problema della responsabilità penale delle persone giuridiche si
sposta quindi su di un piano più squisitamente politico, e questo sia che si
aderisca all'orientamento per cui nel nostro ordinamento non esistono
insuperabili ostacoli di ordine costituzionale che impediscano l'introduzione di
una responsabilità penale delle persone giuridiche; sia che si ritenga necessaria
una modifica della Costituzione per superare il principio dell'irresponsabilità
penale degli enti367.
Altre problematiche sono relative al fatto che l'art. 6 del d.lgs. 231/2001
offre solo indicazioni di massima in ordine ai requisiti indeclinabili dei
compliance programs, che possono essere a ben vedere ritenute deficitarie in
responsabilità, a metà tra penale ed amministrativo (Cass. pen. sez. VI, 18 febbraio 2010,
Scarafia; Cass. pen. sez. VI, 9 luglio 2009, Mussoni).
366
D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit. p. 156.
367
Circa gli argomenti delle due fazioni si veda il meticoloso lavoro di ricostruzione di
D'ACRI, La responsabilità delle persone giuridiche derivante da reato, op. cit., in
particolare: per la ricostruzione delle argomentazioni a favore della teoria
dell'irresponsabilità penale delle società e per quelle (ormai prevalenti) a favore del principio
societas delinquere et puniri potest, la cui affermazione si dimostra compatibile sia con l'art.
27 Cost. comma primo (non solo nella sua accezione minima di divieto di responsabilità per
fatto altrui, ma anche alla luce delle sentenze della Corte Costituzionale del 1988 n. 364 e
1085 che richiedono la colpevolezza) che comma terzo (fine rieducativo della pena) si
vedano pp. 89-120, 121-133; circa i dubbi ancora persistenti sulla colpa di organizzazione
quale fondamento della responsabilità penale delle persone giuridiche si vedano pp. 142-156,
nonché pp. 272-280 in cui si esprimono dubbi di costituzionalità relativamente all'art. 8
d.lgs. 231/2001 (autonomia della responsabilità dell'ente).
180
punto di determinatezza368. Come è stato sostenuto a questo proposito in
dottrina, le norme cautelari: «dovrebbero essere contenute in atti normativi o
regolamentati, che delineano un corpus tendenzialmente esaustivo di
disposizioni intese ad evitare che nell'esercizio di attività lecite si commettano
determinati reati portatori di particolare pregiudizio sociale», inoltre «le
prescrizioni
dovrebbero
essere
obbligatoriamente
adottate
dall'ente,
costituendo così esse stesse un illecito (penale o) amministrativo»; sarebbe
pertanto auspicabile un intervento definitorio maggiormente puntuale in tema
di requisiti organizzativi, sulla scorta di quanto avvenuto con riguardo ai
compliance programs relativi ai reati colposi in materia di sicurezza sul lavoro
di cui all'art. 30 d.lgs. 81/2008369.
C'è chi, alla luce di tali problematiche, ha sostenuto che «il cercare di
costringere a viva forza il paradigma ascrittivo della responsabilità da reato nel
letto di Procuste dell'Individualstrafrecht è impresa (...) fatalmente destinata
all'insuccesso»370. Ne consegue, in prospettiva de jure condendo, che «è
necessario un vero e proprio mutamento di paradigma: bisogna pensare ad un
altro diritto penale, rimodellato sulle fattezze dei soggetti metainviduali». Si
auspica allora «la creazione di una seconda (o terza) via penalistica, al cui
interno le categorie dell'imputazione penale andrebbero rimodulate in chiave
analogico-funzionale, e cioè in considerazione della specifica funzione che
368
P. ALDROVANDI, I modelli di organizzazione e gestione nel d.lgs. 8 giugno 2001, n.
231: aspetti problematici dell'ingerenza pluralistica nel governo delle società, in Riv. trim.
dir. pen. ec., 2007. p. 457.
369
Così DE VERO, Struttura e natura giuridica, op. cit., p. 1445. Il problema relativo alla
valutazione giudiziale dei modelli organizzativi e dunque al reale funzionamento
dell'esimente (due diligence defense, che gli Stati Uniti tanto ci invidiano, si veda Cap. II, §
3.2 e § 3.3) ex art. 6 d.lgs. 231/2001, che al momento sembra esistere solo sulla carta, è
strettamente collegato proprio all'indeterminatezza del contenuto dei modelli. Si ricorda a
riguardo che nel gennaio 2014 la Cassazione ha annullato la prima (e probabilmente unica)
sentenza che aveva riconosciuto l'idoneità e l'effettività del modello (sia in primo grado che
in appello), riconoscendo l'esimente ad Impregilo S.p.a.. Si veda Cass. pen., Sez. V, 18
dicembre 2013 (dep. 30 gennaio 2014), n. 4677, Pres. Ferrua, Rel. Fumo, ric. Impregilo SpA
in www.penalecontemporaneo.it).
370
DE SIMONE, Persone giuridiche e responsabilità da reato, (2012), op. cit., p. 225.
181
esse sono chiamate a svolgere in un sistema di responsabilità corporativa»371.
Secondo questa audace posizione dottrinale i principi costituzionali, per tale
menzionata “seconda o terza via” penalistica, potrebbero trovare una meno
rigorosa attuazione e risultare più flessibili: tale dottrina suggerisce una
costruzione
ermeneutica
differenziata,
relativamente
al
fondamento
costituzionale: una per le persone fisiche ed una per gli enti. Per il principio di
colpevolezza operativo nel campo del diritto penale delle persone fisiche si
potrebbe individuare un ulteriore e più forte aggancio normativo nell'art. 3
Cost. commi 1 (pari dignità sociale) e 2 (pieno sviluppo della persona umana),
mentre per le persone giuridiche potrebbe valere un principio di colpevolezza
meno pregnante e intransigente, fondato in via esclusiva sul richiamo all'art.
27 Cost. comma primo. Si tratterebbe di uno «Schuldprinzip di ‘serie B’», per
il quale «potrebbe essere sufficiente un concetto sociale, meno personalistico,
di colpevolezza, il cui rimprovero si appunta sul fatto di non essere all'altezza
delle aspettative sociali»372. Il fatto della persona giuridica potrebbe essere lo
stesso oggetto del rimprovero di colpevolezza di organizzazione che si muove
Ibidem; parlando di “terza via” l'Autore si riferisce a una terza soluzione punitiva, che
sarebbe ideata ad hoc per gli enti, oltre alle sanzioni e alle misure di sicurezza. Di “seconda
via” invece si parla se la si contrappone al diritto penale tradizionale delle persone fisiche
(per la “teoria bricoliana” circa l'uso di misure di sicurezza, invece che di sanzioni, per gli
enti, in quanto le misure di sicurezza richiedendo il requisito della pericolosità sociale, ma
non quello della colpevolezza, risolverebbero così il problema del contrasto con l'art. 27
Cost, si rinvia a F. BRICOLA, Il costo del principio societas delinquere non potest
nell'attuale dimensione del fenomeno societario, in riv .it. dir. proc. pen., 1970).
372
Ibidem; Secondo DE SIMONE a proposito delle persone fisiche e in relazione all'art. 3
Cost. comma 1 e 2, si potrebbe fare un ragionamento di questo tipo: «se compito della
Repubblica - e cioè dello Stato - è quello di rimuovere gli ostacoli che (...) impediscono il
pieno sviluppo della persona umana, sarebbe assurdo che proprio lo Stato fosse lasciato
arbitro di creare ostacoli di ordine giuridico. E tale sarebbe senza dubbio, una responsabilità
penale che faccia a meno della colpevolezza». A riguardo, si ricorda che già la Corte
costituzionale nella storica sentenza 364/1988 (già in questo lavoro più volte citata) ritenne
che l'art. 27 Cost. comma 1 andasse interpretato in relazione non solo al terzo comma, dello
stesso art. 27, ma anche ad una serie di altre disposizioni tra le quali, per l'appunto, l'art. 3,
commi 1 e 2, cost.»; Cfr. Corte costituzionale, 23-24 marzo 1988, n. 364, in Riv. it. dir. proc.
pen., 1988, p. 686 ss., con nota di D. PULITANÒ, Una sentenza storica che restaura il
principio di colpevolezza. Nel senso che il rimprovero di colpevolezza possa si benissimo
riempire di «contenuti diversi e peculiari, quando ad essere rimproverata è la persona
giuridica», G. MARINUCCI, Societas puniri potest: uno sguardo sui fenomeni e sulle
discipline contemporanee, in Riv. it. dir. proc. pen., 2002, p. 1210.
371
182
nei suoi confronti e consistere in una deficitaria configurazione del proprio
ambito organizzativo, ovvero nell'omessa predisposizione di misure atte a
fronteggiare efficacemente il rischio del verificarsi di certi reati o accadimenti
impersonali
socialmente
pregiudizievoli,
connessi
allo
svolgimento
dell'attività dell'impresa. Sul versante dell'imputazione oggettiva basterà
verificare che il fatto della persona giuridica, inteso come deficit
dell'organizzazione, abbia determinato un aumento del rischio di verificazione
di certi eventi-reato o di certi accadimenti lesivi impersonali, che
nell'economia della fattispecie ascrittiva, vengono ad assumere il ruolo di mere
condizioni obiettive di punibilità, e che poi tale rischio si sia realizzato
nell'evento concretamente verificatosi, mentre non dovrebbe richiedersi
l'accertamento della sussistenza di un vero e proprio rapporto di causalità
materiale.
Sul piano dell'imputazione soggettiva, un criterio costituzionalmente
accettabile potrebbe essere rappresentato dall'impedibilità, che però andrebbe
riferita non al verificarsi dell'evento-reato, quanto alla stessa struttura
organizzativa deficitaria. Il che, tradotto in termini di “normativa 231”,
starebbe a significare esigibilità dell'adozione e dell'implementazione di un
modello organizzativo idoneo: «in questo modo si potrebbe conferire uno
spessore più personalistico alla Schuld del macroantropo»373.
§ 3.3 IL PROBLEMA DEL SINDACATO GIUDIZIALE SULL'IDONEITÀ
DEL
MODELLO
CONDENDO,
ORGANIZZATIVO:
ANCHE
ALLA
PROSPETTIVE
LUCE
DELLA
DE
JURE
RECENTE
GIURISPRUDENZA DI LEGITTIMITÀ
La valutazione giudiziale dell'adeguatezza del modello, ai fini
dell'esimente prevista dall'art. 6 d.lgs. 231/2001 è un tema assai delicato e
373
Sempre DE SIMONE, ult. op. cit., p. 229.
183
scivoloso374. Tale esimente, infatti, sostanzialmente non viene mai
riconosciuta dalle Corti, generando un disincentivo enorme all'adozione della
“compliance 231” da parte degli enti. I modelli organizzativi rischiano di
risultare «tigri di carta» al cospetto del giudice: la due diligence defense
prevista dal d.lgs. 231/2001375, a cui anche gli Stati Uniti guardano come
ispirazione (in prospettiva de jure condendo), in realtà attualmente è ferma ad
una pura utopia su carta376.
374
La bibliografia a riguardo è molto recente e comincia proprio ultimamente ad ampliarsi.
Per un primo quadro sullo stato dell'arte del sindacato giudiziale, tuttora in fieri, si vedano, in
rivista La responsabilità amministrativa delle società e degli enti, i contributi di: F. LEDDA
(n. 3, 2014, pp. 335 ss.) Idoneità dei modelli organizzativi: dalla teoria alla pratica e
viceversa; T. GUERINI (n. 3, 2014, pp. 81 ss.), L'efficacia esimente del modello
organizzativo tra realtà e utopia; M. MONTESANO (n. 2, 2014, pp. 249 ss.), Il caso
Impregilo: la Cassazione definisce delle regole più rigorose in relazione all'accertamento
della efficacia dei modelli organizzativi (commento a cass. pen., sez. v, n. 4677, 30 gennaio
2014); M. ARENA, (n. 2, 2008, pp. 49 ss.), Idoneità del modello e frode del soggetto
apicale, si veda anche ID., La valutazione giudiziale dei Modelli: questa sconosciuta - Nota
a Tribunale Milano, sez. IV, 4 febbraio 2013, n. 13976, in www.dirittobancario.it, Febbraio
2013; A. GUERREIO (n. 2, 2012, pp. 103 ss.), La valutazione giudiziale dell'efficacia
esimente dei modelli organizzativi: criteri e problematicità legate ai reati a struttura
colposa; S. BARTOLOMUCCI (n. 4, 2012, pp. 167 ss.), L'adeguatezza del modello nel
disposto del d.lgs. 231 e nell'apprezzamento giudiziale. Riflessioni sulla sentenza d'appello
“Impregilo”; G. CORRIAS LUCENTE (n. 1, 2011, pp. 203 ss.), Le caratteristiche del
modello organizzativo esimente; T. EPIDENDIO (n. 4, 2010, pp. 149 ss.), Il modello
organizzativo con efficacia esimente; G. GARUTI (n. 3, 2007, pp. 11 ss.), Profili giuridici
del concetto di adeguatezza dei modelli organizzativi, C.E. PALIERO - C. PIERGALLINI
(n. 3, 2006, pp. 167 ss.), La colpa in organizzazione; F. D'ARCANGELO (n. 2, 2011, pp.
129ss.), I canoni di accertamento dell'idoneità del modello organizzativo nella
giurisprudenza, ID., (n.1, 2015, pp. 51 ss.), Il sindacato giudiziale sulla idoneità dei modelli
organizzativi nella giurisprudenza più recente.
375
Essa è contenuta nell'art. 6 d.lgs. 231/2001. Una volta stabilito che si è verificato un reatopresupposto e che vi è interesse o vantaggio per l'ente, affinché venga riconosciuta l'esimente
occorre che l'ente dimostri che: 1) aveva adottato ante delictum un modello idoneo a
prevenire i reati commessi 2) esisteva un ODV, ossia un organo autonomo ed indipendente,
con il compito di vigilare sull'attuazione del modello organizzativo e che ne verificasse
l'implementazione effettiva 3) chi ha commesso il reato lo ha fatto eludendo
fraudolentemente il modello, eludendo anche i controlli dell'ODV (qui l'ente, in regime di
inversione dell'onere della prova come previsto in tutti i casi in cui il reo è un apicale, deve
addirittura provare la condotta altrui: si è parlato di probatio diabolica). Si rinvia per i
dettagli normativi al Cap. II.
376
Negli Stati Uniti i compliance programs non “salvano” mai l'ente dal procedimento
penale (ma questo è comunque possibile attraverso gli accordi tra pubblica accusa e ente
imputato, DPA e NPA), bensì solo sulla commisurazione della pena; anche se la riduzione
della pena può essere veramente notevole, lo stigma permane, ammesso che non venga
stipulato un agreement di giustizia penale negoziata, un trend inarrestabile ormai negli Stati
Uniti. Si rinvia a questo riguardo al cap. II, § 3.3 e § 3.3 (in particolare si vedrà come
184
Nelle poche sentenze di legittimità che si sono occupate dei canoni di
valutazione del modello, sono stati individuati nell'efficacia, nella specificità e
nella dinamicità i criteri strutturali del modello da intendersi adeguato377.
Riguardo al criterio dell'accertamento dell'idoneità preventiva, «nell'unica
decisione intervenuta sul punto» (caso Impregilo S.p.a), si afferma che essa
deve essere compiuta dal giudice con riferimento al tempo della sua adozione
ed attuazione e quindi secondo un giudizio ex ante di prognosi postuma (senza
cadere nel pericoloso circolo vizioso: il ragionamento circolare per cui la
consumazione del reato, sarebbe necessariamente la prova dell'inadeguatezza
del modello). Tale pronuncia, seguita anche da una conferma in appello
«spicca (...) per essere la sola che opera un sindacato sull'idoneità delle cautele
apprestate dall'ente»378. La situazione non è rosea, nello scenario attuale si
contrappongono certezza dei costi (di progettazione ed implementazione del
modello) e incertezza della valutazione di adeguatezza. La costruzione delle
cautele costa e il risultato dell'operazione è incerto, non prevedibile, perché
«non è reperibile il criterio dei individuazione della diligenza dovuta dall'ente
l'esimente italiana si stata citata al Congresso degli Stati Uniti come esempio da seguire,
perlomeno in alcune materie come la corruzione).
377
F. D'ARCANGELO, Il sindacato giudiziale sulla idoneità dei modelli organizzativi nella
giurisprudenza più recente, op. cit. In giurisprudenza sono stati individuati nella efficacia,
specificità e dinamicità i caratteri strutturali dei Modelli di organizzazione cui si voglia
attribuire una concreta idoneità ad assolvere le funzioni cui sono destinati, evidenziando al
contempo la inadeguatezza del mero recepimento di Linee Guida o di codici etici generali ed
astratti (G.i.p. Trib. Bari, 18 aprile 2005, cit.; G.i.p. Trib. Milano, 27 aprile 2004, cit., c. 434;
Trib. Roma, 4 aprile 2003, in Foro it., 2004, II, 317). In particolare il canone della specificità
impone di tener conto della tipologia, delle dimensioni, della attività dell’ente e della sua
storia (anche giudiziaria) ed il canone della attualità assicura il costante adeguamento del
Modello Organizzativo e gestionale alle mutate esigenze e dinamiche che si producono nella
compagine dell’ente. La dinamicità, per converso, assicura il continuo controllo del sistema
prevenzionale, mediante il ricorso a sistematiche procedure di ricerca ed identificazione dei
rischi e controlli periodici sulle attività aziendali sensibili (G.i.p. Trib. Milano 20 settembre
2004, in Foro it., 2005, II, c. 56).
378
Così C. PIERGALLINI, Il modello organizzativo alla verifica della prassi, in Le Società,
fasc. speciale 12s, 2011, p. 48; L'Autore si riferisce al primo e al secondo grado del caso
Impregilo; Cfr. Trib. Milano, 19 novembre 2009, G.i.p. E. MANZI, in Le Società, fasc.
speciale 12s, 2011, pp. 473 ss. con nota di C.E. PALIERO, Responsabilità dell'ente e cause
di esclusione della colpevolezza: decisione lassista o interpretazione costituzionalmente
orientata?
185
(alla stregua del parametro dell'agente modello)»379. Ciò genera malcontenti e
irritazione in ambito aziendale, in quanto non si può nemmeno contare sulla
sospensione condizionale della pena.
A fronte di questa situazione si sono generate alcune risposte in progetti
di riforma che puntano a ritagliare criteri di validazione certificati da soggetti
privati, che estromettono o riducono sensibilmente l'apprezzamento del
giudice380. Tali proposte di certificazione dei modelli sono state bocciate in
toto dalla più autorevole dottrina, che pure non ha mancato di evidenziare
come la ratio motivante delle proposte di riforma, l'incertezza - qualcuno
direbbe “la discrezionalità”381- in cui versa attualmente la valutazione
379
PIERGALLINI, Il modello organizzativo alla verifica della prassi, op. cit., p. 49.
Si tratta della proposta di modifica dell'AREL, in collaborazione con PWC (schema di
disegno di legge, consultabile su DeJure, 6/2010) e quella di origine parlamentare proposta
dall'On. Della Vedova; la prima è stata poi recepita anche in un d.d.l. dal Ministero di
Giustizia. Essa prevedeva, all'art. 1, una modifica all'art. 6 d.lgs. 231/2001, il quale non
prevede più «la presenza cumulativa dei quattro elementi in cui essa oggi si articola ad
escludere la responsabilità dell'ente; è piuttosto l'accertamento - sembra di capire alternativo
- anche di uno solo dei ribaditi profili di deficit organizzativo-gestionale, che fonda la
responsabilità della societas per il reato commesso dal soggetto in posizione apicale». La
proposta di modifica poi prevedeva: all'art. 2 una norma intitolata “Funzione del
certificatore. Abuso”, lasciava invariato l'art. 7 d.lgs. 23172001, ma prevedeva un art. 7bis
intitolato “Certificazione del modello preventivo”. Cfr. DE VERO, Il progetto di modifica
della responsabilità degli enti tra originarie e nuove aporie, op. cit., p. 1139.
381
DE VERO, Il progetto di modifica della responsabilità degli enti tra originarie e nuove
aporie, op. cit., p. 1138, parla apertamente di «ampio apprezzamento discrezionale» del
giudice nel sindacato di idoneità del modello; Contra F. D'ARCANGELO (G.i.p. presso il
Tribunale di Milano) secondo il quale il giudice non deve essere tacciato di discrezionalità, il
problema sarebbe a monte: l'addebito di
responsabilità nei confronti dell'ente è
indeterminato e non si comprendono quali debbano essere i contenuti del modello. L'Autore
però sostiene che l'indeterminatezza della normativa sulla responsabilità dell'ente con
riferimento alla colpa di organizzazione «è una precisa scelta del legislatore». Le ragioni
sarebbero due: a) con una platea di destinatari e di reati-presupposto così variegata il
legislatore non avrebbe potuto fare altro che dare le coordinate generali, che poi ogni azienda
dovrà “riempire” e fare proprie con “misure sartoriali” b) il “sistema 231” italiano,
ispirandosi alla compliance statunitense ne segue anche le ambizioni e la principale
direzione, ovvero quella che la dottrina ha definito una «auto-regolamentazione controllata»;
lo Stato fa un passo indietro, a favore di una «partnership pubblico-privata» nella gestione
degli illeciti. I rischi di questa ottica manageriale con cui si affronta il diritto penale sono
stati per la prima volta ben delineati da F. CENTONZE, La co-regolamentazione dell'attività
d'impresa nel d.lgs. 231/2001. Il problema dell'importazione dei compliance programs, in
Analisi giuridica dell'economa, n. 2, 2009 (fascicolo monografico) ABRIANI - MEO PRESTI (a cura di), Società e modello 231: ma che colpa abbiamo noi? Tali dubbi sono
ripresi recentissimamente da un articolo di S. MANACORDA, La dinamica dei programmi
di compliance aziendale: declino o trasfigurazione del diritto penale dell'economia? in Le
380
186
giudiziale, renda comunque necessario un qualche intervento a livello di hard
law 382.
Sono state allora elaborate delle proposte dottrinali che attendono
ancora di essere colte dal legislatore. Per rispondere alla comprensibile
domanda di certezza reclamata dalle imprese, la dottrina propone
un'equilibrata risposta, che prevede un percorso di formalizzazione e
positivizzazione delle best practices, sfruttando le opportunità che, nel diritto
penale
individuale,
offre
la
colpa
specifica.383
Al
posto
di
Società, n. 4/2015, pp. 473 ss., che sottolinea come «l'autoregolamentazione punitiva fa
temere un indebolimento dei meccanismi di controllo, progressivamente sostituiti da regole
proprie dell'azienda, debolmente inquadrate dal diritto statuale» (ibidem, p. 481). Su
quest'ultimo punto si rinvia al Cap. II, § 3.
Si è fatto qui riferimento agli interventi tenuti da D'ARCANGELO durante il corso
di formazione per la magistratura onoraria, Palazzo di Giustizia, Milano, 9 aprile 2014 ed in
occasione del “Tavolo di lavoro 231” organizzato dalla rivista La responsabilità
amministrativa delle società e degli enti (direttore M. Levis), il 30 settembre 2014; Cfr.
anche il recentissimo contributo F. D'ARCANGELO, I canoni di accertamento dell’idoneità
del modello organizzativo nella giurisprudenza, in La responsabilità amministrativa delle
società e degli enti, n. 2, 2011, pp. 129 ss.
382
Circa le critiche relative alle proposte di certificazione del modello e sull'esigenza reale di
una modifica alla normativa attuale, si vedano nella rivista specializzata La responsabilità
amministrativa delle società e degli enti i contributi di: S. BARTOLOMUCCI, Lo strumento
della certificazione e il d.lgs. 231/2001:polisemia ed interessi sottesi nelle diverse
prescrizioni normative, n.2, 2011, pp. 47 ss.; V. MONGILLO, Il giudizio di idoneità del
modello di organizzazione ex d.lgs. 231/2001: incertezza dei parametri di riferimento e
prospettive di soluzione, n.3, 2011, p. 69 ss.; F. D'ARCANGELO, I canoni di accertamento
dell’idoneità del modello organizzativo nella giurisprudenza,op.cit.
383
Per ricostruire meticolosamente l'impianto dottrinale attuale circa il tema in analisi e per
alcune interessanti riflessioni de jure condendo che vertono sulla positivizzazione delle
cautele preventive, sulla scorta di quanto già avviene in ambito “lavoristico-231” con l'art. 30
del d.lgs. 81/2008 (e sembra a chi scrive anche in affinità con la costruzione di checklists
relative alla “colpa medica”), si veda: G. MERUZZI, Un nuovo ruolo per i modelli di
organizzazione e gestione: il progetto di modifica arel-pwc alla disciplina della
responsabilità degli enti ex d.lgs. 231/2001, in Contratto e impresa, 2012, fasc. 1 pp. 211 226; U. CALDARERA - R. CALDARONE - A. DELL'ISOLA - G.M. GAREGNANI - R.
QUINTANA, Note in merito alle proposte di modifica al d.lg. 231/2001 (commento al d.lgs.
8 giugno 2001, n. 231), in Rivista dei dottori commercialisti, 2011, fasc. 1 pp. 37 - 61; G.
FIDELBO, La valutazione del giudice penale sull'idoneità del modello organizzativo, in Le
Società, 2011, fasc. speciale 12S, pp. 55 - 64; C. PIERGALLINI, Il modello organizzativo
alla verifica della prassi, in Le Società, 2011, fasc. 12S pp. 46 - 54; l'interessante contributo
del pubblico ministero che chiese il rinvio a giudizio di Impregilo S.p.a e Imprepar Impregilo
Partecipazioni S.p.a. nel gennaio 2006: W. MAPELLI, Legge 231, Approfondimenti sul
decreto legislativo 231/2001, sulla responsabilità penale e amministrativa delle imprese,
Monza, 10 novembre 2011; G.M. FLICK, Le prospettive di modifica del d.lgs. 231/2001, in
materia di responsabilità amministrativa degli enti: un rimedio peggiore del male?
187
“degiurisdizionalizzare” l'accertamento di idoneità dei modelli occorrerebbe
«un serio impegno legislativo di predisposizione di una più fitta griglia di
prescrizioni vincolanti, costruite in funzione delle distinte tipologie di
reati»384. La redazione da parte delle imprese dei modelli dovrebbe svolgere
un ruolo esecutivo rispetto a parametri che già in sede legislativa, prima
ancora che nei codici di comportamento delle associazioni di categoria,
trovino adeguata esplicitazione. Questa soluzione è già stata intrapresa per i
delitti di omicidio e lesioni colposi con violazione delle norme sulla tutela
della salute e sicurezza nei luoghi di lavoro ex art. 25-septies d.lgs. 231/2001:
l'art. 30 d.lgs. 81/2008 detta una folta serie di adempimenti, cui il
corrispondente modello organizzativo deve uniformarsi per poter risultare
idoneo ed avere efficacia esimente.
In definitiva: «la colpa d'organizzazione andrebbe (...) sempre più
omologata ad una colpa per inosservanza di leggi: nel momento in cui le
fondamentali cautele, individuate in atti normativi eteronomi rispetto a coloro
che sono chiamati ad osservarle, risultano sviluppate e concretizzate nei
singoli modelli organizzativi, l'idoneità, quanto meno in astratto, di questi
risulterebbe chiara e non sarebbe più rimessa ad un apprezzamento
(Intervento svolto all'incontro di presentazione del progetto da parte di Arel e Price
Waterhouse Coopers, Milano, Camera di Commercio , 27 settembre 2010) in Rivista delle
società, 2010, fasc. 6 pp. 1294 - 1304; G. DE VERO, Il progetto di modifica della
responsabilità degli enti tra originarie e nuove aporie, in Dir. pen. proc., n. 10, 2010, pp.
1137 ss.; C.E. PALIERO, Responsabilità dell'ente e cause di esclusione della colpevolezza:
decisione ‘lassista’ o interpretazione costituzionalmente orientata? - Nota a Trib. Milano 17
novembre 2009 (primo grado del “caso Impregilo”), in Le Società, 2010, fasc. 4 pp. 476 482; C.E. PALIERO - V. SALAFIA, La società assolta per il reato dei vertici: una sentenza
apripista - Nota a sentenza Tribunale di Milano, 17 novembre 2009 (primo grado del “caso
Impregilo”) - Giudice per le indagini preliminari E. MANZI, in Le Società, fasc. 4, 2010,
pp.149 ss; Si veda infine diffusamente anche Analisi giuridica dell'economia, fascicolo
monografico, n. 2, 2009, N. ABRIANI, G. MEO, G. PRESTI (a cura di), Società e modello
231: ma che colpa abbiamo noi?
384
DE VERO, ult. op. cit., p. 1141.
188
discrezionale né del giudice, né tantomeno di improbabili soggetti
certificatori»385.
“La normativa 231” ha generato accuse (oltre che di discrezionalità,
anche) di ingerenza in ambito di corporate governance che il giudice sarebbe
ora legittimato ad operare in forza del d.lgs. 231/2001. A questo riguardo
autorevoli voci si sono levate affermando come il diritto commerciale non sia
«una provincia esotica del diritto penale»: l'agire dell'impresa deve essere
connotato da legalità, la legalità è coessenziale all'impresa. E il giudice è il
presidio della legalità. Il d.lgs. 231/2001 (così come il d.lgs. 231/2007 o la
385
Ibidem. Naturalmente resta poi da verificare che il modello su carta sia tradotto nella
realtà, ma questo è compito inalienabile del giudice ed infatti così era previsto anche nel
d.d.l. di modifica.
Per ulteriori approfondimenti circa le posizioni dottrinali de jure condendo si veda
FIDELBO, La valutazione del giudice penale sull'idoneità del modello organizzativo, op.
cit., nonché PIERGALLINI, Il modello organizzativo alla verifica della prassi, op. cit., il
quale teorizza la figura di un «agente modello collettivo» che può conseguire prestazioni di
gran lunga superiori a quelle richiedibili all'agente individuale; proprio in relazione a tale
agente modello collettivo urge costruire una serie di «regole cautelari pilota», che devono
tenere conto delle sue capacità superiori rispetto a quelle individuali. Occorre positivizzare “i
saperi esperti” (best practices) all'interno di regole cautelari «in modo non troppo dissimile
da quanto avviene nell'ambito della colpa professionale del medico» (p. 54). Tali cautele
costituirebbero, nella proposta dell'Autore, una presunzione relativa iuris tantum di idoneità
preventiva: il giudice è libero di discostarsene, ma in questo caso dovrà addurre convincenti
motivazioni.
A proposito delle similitudini con taluni aspetti della “medicina difensiva”, G. FORTI, Uno
sguardo ai piani nobili, op. cit., p. 1276, in relazione alla «dominante tendenza delle corti a
concludere la verifica dell'idoneità o efficace attuazione del modello organizzativo con un
immancabile esito negativo basato sul fatto in sé che il reato sia stato commesso» afferma
che «ciò costituisce (ed è stato rappresentato in varie sedi) un serio ostacolo alla più “nobile”
finalità della disciplina 231 e ha come effetto di demotivare gli sforzi in questa direzione,
incentivando, nella bussola cognitiva (…) una lettura del d.lgs. di tipo rinunciatario o, al più,
meramente “difensivo”»; da ciò deriva un atteggiamento “difensivo” da parte delle persone
giuridiche, volto maggiormente ad evitare condanne in sede processuale, a fronte di
adempimenti della normativa solo a livello formale (analogamente a quanto accade in campo
medico per quanto attiene alla cd. “medicina difensiva”). Occorrerebbe pertanto mediare il
requisito di idoneità ed efficace attuazione del modello ed accertamento giudiziale della
fattispecie di reato concretamente ascrivibile all'ente». Cfr. anche CENTRO STUDI
FEDERICO STELLA, Università Cattolica (a cura di), Il problema della “medicina
difensiva”. Una proposta di riforma in materia di responsabilità penale nell’ambito
dell’attività sanitaria e di gestione del contenzioso legato al rischio clinico, Pisa, ETS, 2010,
p.17: «la medicina difensiva è identificabile in una serie di decisioni attive o omissive,
consapevoli o inconsapevoli, e non specificatamente meditate, che non obbediscono al
criterio essenziale del bene del paziente, bensì all'intento di evitare accuse per non avere
effettuato tutte le indagini e tutte le cure conosciute o, al contrario, per avere effettuato
trattamenti gravati da alto rischio di insuccesso o complicanze».
189
legge Severino in materia di riciclaggio e corruzione) è un esempio di
codificazione delle best practices disponibili nei diversi settori della
compliance: quando il giudice deve accertare l'adeguatezza del modello, non
deve fare riferimento ad una sua idea di modello idoneo, ma deve fare
riferimento a parametri normativi, a tutte quelle discipline di settore che sono
attuazione del canone di adeguatezza organizzativa. Si tratta di un giudizio
normativo, che va quindi condotto secondo criteri normativi. Si veda la lettera
della sentenza di Cassazione del caso Impregilo S.p.a.: «il giudice penale non
è chiamato, in questa occasione, a valutare una condotta umana, ma il frutto di
tale condotta, vale a dire l'apparato normativo prodotto in ambito
aziendale»386.
Anche il recente annullamento con rinvio dell'assoluzione di Impregilo
S.p.a. (che costituiva la prima e forse l'unica assoluzione dell'ente,
riconoscendo l'esimente ex art. 6 d.lgs. 231/2001)387 ha confermato l'esigenza
di un intervento del legislatore: non senza una vena polemica, la Cassazione,
in relazione alle Guidelines e ai codici di comportamento promossi dalle
associazioni di categoria (cd. soft law), ha affermato che «non opera alcuna
386
D'ARCANGELO, Convegno del 9 Aprile 2014 presso il Palazzo di Giustizia di Milano,
supra citato. Cfr. Così Cass. pen., sez. V, 30 gennaio 2014, n. 4677.
387
La Corte d'Appello (Corte D'Appello Milano, 21 marzo 2012, n. 1824) aveva
riconosciuto l'esimente per elusione fraudolenta del modello organizzativo degli apicali
(presidente del CDA e l'amministratore delegato) per il reato di aggiotaggio; la Cassazione
smonta l'esimente affermando che non si tratta di fraudolenta elusione, poiché non si
ravvisano i caratteri della frode, quali «una condotta ingannevole, falsificatrice, obliqua,
subdola (...)», l'operato dei vertici in violazione del modello dovrebbe tradursi in «una
condotta di aggiramento di una norma imperativa, non in una semplice e frontale violazione
della stessa». Inoltre, i giudici sottolineano che non è sufficiente che il modello sia idoneo,
occorre anche che sia effettivamente implementato, a quest'ultimo fine occorre una non
subordinazione del controllante al controllato; secondo la Corte l'ODV di Impregilo S.p.a.
esercitava una forma di controllo eccessivamente attenuato e puntualizza che: «se all'organo
di controllo non fosse nemmeno concesso di esprimere una dissenting opinion sul ‘prodotto
finito’ (rendendo in tal modo, almeno, manifesta la sua contrarietà al contenuto della
comunicazione, in modo da mettere in allarme i destinatari) è evidente che il modello
organizzativo non possa ritenersi atto ad impedire la consumazione di un tipico reato di
comunicazione, quale (...) è l'aggiotaggio». In conclusione, ad avviso della Corte, l'efficacia
del modello va misurata anche sull'ampiezza dei poteri conferiti all'ODV. Così Cass. pen.,
sez. V, 30 gennaio 2014, n. 4677, in www.penalecontemporaneo.it, con nota di L.
SANTANGELO.
190
delega disciplinare a tali associazioni e alcun rinvio per relationem a tali
codici» e che essi possono costituire «un paradigma», ma il modello da
adottare «deve poi essere calato nella realtà aziendale nella quale è destinato a
trovare attuazione». Ancora, i giudici di legittimità affermano che «il fatto che
tali codici di comportamento siano comunicati al Ministero di Giustizia, che,
di concerto con gli altri ministeri competenti, può formulare osservazioni, non
vale di certo a conferire a tali modelli il crisma di incensurabilità, quasi che il
giudice fosse vincolato ad una sorta di ipse dixit aziendale e/o ministeriale, in
una prospettiva di privatizzazione della normativa da disporre per impedire la
commissione di reati». La Corte conclude affermando che «il giudice dovrà far
riferimento alle direttrici generali dell'ordinamento (in primis a quelle
costituzionali: cfr. art. 41 comma terzo), ai principi della logica e ai portati di
consolidata esperienza»388.
Nell'attesa che il legislatore recepisca le soluzioni prospettate dalla
dottrina circa il problema in esame, data l'indeterminatezza dell'hard law
(ovvero del d.lgs. 231/2001) da un certo punto di vista - come si è visto 388
Così Cass. pen., sez. V, 30 gennaio 2014, n. 4677, in www.penalecontemporaneo.it, con
nota di L. SANTANGELO; la Corte in modo non troppo velato sostiene la sostanziale
irrilevanza dei codici di comportamento promossi da ABI, Confindustria e le altre
associazioni di categoria. Le best practices aziendali parrebbero, alla luce di questa
pronuncia, avere ben poca rilevanza, limitandosi ad una funzione prevalentemente
pedagogica. Si può prevedere che l'impatto di questa recente sentenza sulle aziende sia
quello di gettare molto probabilmente gli uffici della compliance in una confusione ancora
maggiore. Se la normativa appare quantomeno “indeterminata” a livello di contenuti e le
Linee Guida delle associazioni di categoria non hanno molto credito agli occhi dei giudici,
dove e a chi dovrebbe guardare un'impresa volenterosa di costruire un proprio modello
organizzativo idoneo ai fini dell'esimente ex art. 6 d.lgs. 231/2001? Dopo la bocciatura
(corretta a giudizio di chi scrive) delle proposte di certificazione dei modelli, la dottrina sta
cercando di incentivare il legislatore a rispondere a questo delicato quesito, si veda infra.
Inoltre, nonostante la pacifica natura non vincolante dei protocolli di gestione dei rischi reato
sviluppati dalle associazioni di categoria, la scelta del legislatore di inserire - all'interno della
norma che disciplina la responsabilità dell'ente per reati commessi da apicali - un'apposita
previsione che riguarda i codici di comportamento promossi dalle citate associazioni, non
può del tutto essere ignorata. Anzi, prima della pronuncia in esame, era parso alla dottrina
maggioritaria e ai professionisti che il Legislatore avesse voluto individuare nelle best
practices di settore un modello di riferimento anche per le valutazione a cui è chiamato il
giudice nell'esaminare i profili di colpevolezza dell'ente. In questo senso SANTANGELO,
ult. op. cit, nonché F. D'ARCANGELO, Il sindacato giudiziale sull'idoneità dei modelli
organizzativi nella giurisprudenza più recente, op. cit.
191
giustificata e rilevato il poco credito che la recente giurisprudenza di
legittimità ha manifestato verso la soft law (Guidelines delle associazioni di
categoria come Confindustria o ABI), al momento non resta altro che guardare
alla giurisprudenza più recente: la sentenza della Corte Costituzionale circa la
costituzionalità della esclusione della parte civile dal processo contra
societatem, la sentenza sul caso Impregilo e le Sezioni Unite sulla vicenda
TyssenKrupp ribadiscono «alcuni principi che escludono rischi di arbitri nella
valutazione giudiziale dei Modelli Organizzativi e la orientano secondo precisi
e stringenti canoni giuridici che possano, al contempo, costituire un affidabile
parametro per orientare le scelte degli enti»389. Sia dottrina che giurisprudenza
hanno quindi lanciato il proprio segnale al legislatore.
389
In questo senso, Cfr. F. D'ARCANGELO, Il sindacato giudiziale sulla idoneità dei
modelli organizzativi nella giurisprudenza più recente, op.cit. Circa le sentenze citate, Cfr.:
o la sentenza della Corte Costituzionale sulla costituzionalità della esclusione della parte
civile dal processo contra societatem; Corte Cost., 18 luglio 2014, n. 214; Cfr. anche
Cass. pen. sez. VI, 27 gennaio 2015, n. 3786 in Le Società, n. 6, 2015, pp. 736-746, con
nota di A. VIGLIONE, L'inammissibilità della costituzione di parte civile nei processi a
carico dell'ente;
o la sentenza di Cassazione sul caso Impregilo; Cass. pen., sez. V, 30 gennaio 2014, n.
4677, in www.penalecontemporaneo.it, con nota di L. SANTANGELO. Qui la
Cassazione ha annullato con rinvio il primo riconoscimento - tra i pochissimi dell'esimente ex art. 6 d.lgs. 231/2001, sconfessando anche la sentenza di assoluzione di
primo grado del 2009, che era stata confermata dall'appello nel 2012; Cfr. G.i.p. E.
MANZI, Trib. Milano, 17 novembre 2009 in Le Società, 2010, pp. 475 ss. e Corte
D'Appello Milano, 21 marzo 2012, n. 1824, con nota di L. SANTANGELO, in
www.penalecontemporaneo.it;
o la pronuncia delle Sezioni Unite sulla vicenda Tyssen Krupp; Cass. pen. SS. UU., 18
settembre 2014, n. 38343, in Le Società, n. 2, 2015, pp. 215-229, con nota di R.
BARTOLI, Le Sezioni Unite prendono atto del nuovo paradigma punitivo del “sistema
231”.
192
II
LA NORMATIVA ITALIANA DI ISPIRAZIONE STATUNITENSE:
D.LGS. 231/2001 E COMPLIANCE PROGRAMS
§ 1 UNO SGUARDO PANORAMICO SUL DECRETO
§ 1.1 I principi generali del d.lgs. 8 giugno 2001, n. 231 § 1.2 Modelli
organizzativi e colpevolezza di organizzazione
§ 1.1 I PRINCIPI GENERALI DEL D. LGS. 8 GIUGNO 2001, N. 231
Come è noto, la “corporate liability” all'interno dell'ordinamento
nazionale, è stata introdotta da ormai più di un decennio; sia sotto il profilo
normativo, sia per quanto attiene al fronte giurisprudenziale e dottrinale, si è
registrata una importante evoluzione390. Pertanto, al fine di inquadrare l'attuale
ambito
di
applicazione
del
plesso
normativo
in
oggetto,
occorre
preliminarmente stabilire in modo sintetico quello che può definirsi il
perimetro di configurazione ed ascrizione della responsabilità, alla luce dei
principi che illuminano la materia in parola e delle modifiche intervenute negli
anni.
Fin dai primi anni di operatività della normativa, è stato osservato come
il fatto storico che dà origine a responsabilità sia «unico nella realtà
fenomenica, ma duplice nelle ‘qualificazioni giuridiche’»391; se pertanto, per
un verso, si avrà l'imputazione nei confronti della condotta dell'autore persona
fisica, dall'altro, parallelamente, si andrà a perseguire l'illecito penaleamministrativo riconducibile alle “soggettività collettive” che non abbiano
attuato le misure di prevenzione organizzative. Si deve osservare, in primo
luogo, come, rispetto alla legge delega 300/2000, il d.lgs. 231/2001 abbia
390
Per un completo ed interessante approfondimento critico dello sviluppo in materia nel
primo decennio, si veda PALIERO, Dieci anni di corporate liability nel sistema italiano: il
paradigma imputativo nell’evoluzione della legislazione e della prassi, op. cit., pp. 5-21.
391
A. ROSSI, La responsabilità dell'ente per il reato commesso nel suo interesse, di
VINCIGUERRA - CERESA - GASTALDO - ROSSI, Padova, 2004.
193
attuato una restrizione delle categorie di reato inizialmente previste; la scelta è
stata generalmente ritenuta selettiva e fortemente riduttiva, a livello di impatto
pratico, ancorché giustificata dai contrasti emersi in sede parlamentare.
L’individuazione delle figure criminose alle quali attribuire rilevanza erano
circoscritte, infatti, ad un numerus clausus di reati normativamente
individuati392: la Relazione Ministeriale di accompagnamento al decreto stesso
ha ritenuto, sul punto, che «un ampio novero di reati potrebbe fatalmente
provocare non trascurabili difficoltà di adattamento», posto che la disciplina
comporta una forte innovazione e considerato il fatto che «la struttura e la
funzione del modello di responsabilità sanzionatoria degli enti prefigurate nel
presente decreto legislativo sembrano perfettamente idonee, con l'aggiunta di
qualche semplice adattamento, a ricomprendere e disciplinare, in futuro, forme
di responsabilità legate ad un più ampio ventaglio di reati». E ciò è quello che
si è successivamente verificato, pur in carenza di quello che avrebbe potuto
essere un disegno legislativo unitario di politica penale: il novero di reati
ipoteticamente realizzabili in seno all'ente è stato infatti incrementato
mediante l'ampliamento del catalogo dei cd. reati presupposto393.
392
Il riferimento è ad alcuni delitti (secondo le versioni antecedenti alle novelle succedutesi
recentemente) contro la Pubblica Amministrazione e contro il patrimonio dello Stato o di
enti pubblici, indicati negli artt. 24 e 25 (malversazione - art. 316 bis c.p. -, indebita
percezione di erogazioni - art. 316 ter c.p. -, concussione - art. 317 c.p. -, corruzione - artt.
318-322 c.p. -, truffa aggravata - art. 640, co. 2, n. 1 c.p. -, truffa per il conseguimento di
erogazioni pubbliche - art. 640 bis c.p. -, frode informatica - 640 ter c.p.), oltre al reato di
inosservanza della misura cautelare o della sanzione interdittiva applicata all'ente commesso
nello svolgimento dell’attività dell'ente e nell’interesse o a vantaggio di esso, ex art. 23 del
decreto stesso.
393
Il catalogo dei reati-presupposto è stato, di nuovo, ampliato recentissimamente (fine anno
2014 e prima metà 2015). Oltre all'inserimento del reato di autoriciclaggio (art. 648 ter c.p.),
con l'art. 3 della legge 15 dicembre 2014, n. 186, viene modificato il corrispondente art. 25octies del d.lgs 231/2001. La legge 22 maggio 2015 n. 68, recante “Disposizioni in materia
di delitti contro l'ambiente”, ha modificato in maniera significativa il d.lgs.152/2006 ed ha
introdotto all'interno del codice penale un lungo elenco di reati ambientali (collocati nel
nuovo Titolo VI-bis intitolato “Dei delitti contro l'ambiente”), per una buona parte dei quali
è previsto l'essere presupposto per la responsabilità amministrativa dell'impresa. Ne è
derivata, così, una importante modifica e integrazione dell'articolo 25-undecies del d.lgs
231/2001, con data di entrata in vigore 29 Maggio 2015. Inoltre, la legge 27 maggio 2015 n.
69, all'articolo 12, ha introdotto alcune modifiche alle disposizioni sulla responsabilità
amministrativa degli enti in relazione ai reati societari, che prevedono la modifica e
194
In sostanza, pertanto, il sistema punitivo attorno al quale ruota la
responsabilità dell'ente è imperniato su specifici cardini che ne delineano la
struttura394: il reato presupposto (quale requisito oggettivo, potenzialmente
realizzabile anche in forma tentata, ex art. 26 del Decreto); l'interesse o il
vantaggio dell'ente (salvo che l'autore abbia agito nell'esclusivo interesse
proprio o di terzi, come previsto dall'art. 5), il ruolo dell'autore del reato
(soggetto apicale - art. 6 - ovvero subordinato - art. 7 -); la cd. colpa in
organizzazione (sulla base della mancata ovvero non idonea adozione dei
modelli di prevenzione).
integrazione dell'articolo 25-ter del Dlgs 231/01, con data di entrata in vigore 14 Giugno
2015.
Con la legge 18 marzo 2008, n. 48 è stato introdotto l'art. 24-bis (Delitti informatici e
trattamento illecito dei dati) e con la legge 15 luglio 2009, n. 94 si è previsto l'inserimento
dell’art. 24-ter (Delitti di criminalità organizzata); la recente novella relativa alla cd.
anticorruzione, legge 6 dicembre 2012, n. 190, ha modificato la rubrica ed il terzo comma
dell'art. 25 (Concussione, induzione a dare o promettere altra utilità e corruzione); sull'art.
25-bis (Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni
di riconoscimento) è intervenuta la legge 23 luglio 2009, n. 99, la quale, contestualmente, ha
introdotto l'art. 25-bis1. (Delitti contro l'industria ed il commercio); i reati societari, previsti
dal d.lgs. n. 61/2002, sono stati aggiunti mediante l'inserimento dell'art. 25-ter (a sua volta
ulteriormente modificato da altri due interventi, quali la legge 28 dicembre 2005 e la legge 6
novembre 2012, n. 190); si è assistito altresì all'inclusione dei delitti con finalità di
terrorismo o eversione dell'ordine democratico (art. 25-quater), disciplinati dalla legge 14
gennaio 2003, n. 7, nonché del delitto di pratiche di mutilazione degli organi genitali
femminili (art. 25-quater.1, mediante la legge 9 gennaio 2006, n. 7). Ancora: i delitti contro
la personalità individuale (art. 25-quinquies), ad opera della legge 11 agosto 2003, n. 228 (e
relativi interventi posteriori: la legge 6 febbraio 2006, n. 38 ed il recente d.l. 4 marzo 2014,
n. 39); gli abusi di mercato (art. 25-sexies, grazie alla legge 18 aprile 2005, n. 52); l'omicidio
colposo o le lesioni gravi o gravissime commesse con violazione delle sulla tutela della
salute e sicurezza del lavoro (art. 25-septies, introdotto con la legge 3 agosto 2007, n. 123 e
sostituito dal d.lgs. 9 aprile 2008, n. 81; anche il primo comma dell'art. 25-octies (oggi
rubricato: “Ricettazione, riciclaggio, impiego di denaro, beni o utilità di provenienza illecita,
nonché autoriciclaggio” ed introdotto con il d.lgs. 21.novembre 2007, n. 231) ha subito le
modifiche di cui al recente intervento della legge 15 dicembre 2014, n. 186; dell'art. 25nonies (“Delitti in materia di violazione del diritto d'autore”, introdotto con legge 23 luglio
2009, n. 99) si sono interessate la legge 3 agosto 2009, n. 116 ed il d.lgs. 7 luglio 2001, n.
121, per mezzo del quale il legislatore ha altresì provveduto ad inserire gli artt. 25-decies
(“Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità
giudiziaria”) e 25-undecies (“Reati ambientali”). Da ultimo, merita segnalazione
l’introduzione del reato di cui all'art. 25-duodecies (“Impiego di cittadini di paesi terzi il cui
soggiorno è irregolare”), con il d.lgs. 16 luglio 2012, n. 109.
394
La giurisprudenza parla, a tal proposito, di «fattispecie complessa»; cfr. anche
PIERGALLINI, Dieci anni di corporate liability, op. cit.
195
L'art. 1 individua i possibili soggetti collettivi responsabili “per gli
illeciti amministrativi dipendenti da reato” negli “enti forniti di personalità
giuridica”, non dimenticando di inserirvi le “società e associazioni, anche
prive di personalità giuridica” (fondazioni, società di persone, di capitali,
cooperative, enti pubblici economici che agiscano iure privatorum).
Si ritiene doveroso dare atto dell'esistenza di un contrasto in
Giurisprudenza circa l'applicazione delle norme contenute nel d.lgs. 231/2001
alle imprese individuali: a fronte di un orientamento che appare prevalente e
che opta per una soluzione negativa della questione («...in quanto si riferisce ai
soli enti collettivi»395), non è mancata, talora, qualche pronuncia di segno
opposto («...si applicano anche alle imprese individuali, che devono ritenersi
incluse nella nozione di ente fornito di personalità giuridica utilizzata dall'art.
1, comma secondo, d.lgs. n. 231 del 2001 per identificare i destinatari delle
suddette disposizioni»396). Restano, per converso, esclusi dall'ambito di
applicazione del Decreto lo Stato, gli enti pubblici territoriali, altri enti
pubblici non economici, enti che svolgono funzioni di rilievo costituzionale.
Tuttavia, come affermato da costante giurisprudenza, «la natura pubblicistica
di un ente è condizione necessaria ma non sufficiente per l'esonero della
disciplina in questione; deve necessariamente essere presente anche la
condizione dell'assenza di svolgimento di attività economica da parte dell'ente
medesimo»397.
L'art. 2 sancisce, in ossequio ai principi generali in materia penale,
anche in tale contesto, il principio di legalità, come previsione in sé del reato e
della sanzione in capo alla persona fisica, nonché altresì con riguardo alla
persona giuridica.
Quanto al principio di retroattività, sancito dall'art. 3, si assiste ad una
sostanziale riproduzione dei commi 2, 4 e 5 dell'art. 2 c.p., ovvero il reato deve
395
A titolo esemplificativo: Cass. VI, 22.4.2004, n. 18941 e Cass. VI, 16.05.2012, n. 30085.
Si veda Cass. III, 15/12/2010, n. 15657.
397
Ex plurimis, Cass. II, 26/10/2010, n. 234/2011.
396
196
essere stato commesso dopo l'entrata in vigore della norma che prevede la
responsabilità della persona giuridica relativamente al reato considerato nella
fattispecie che si presenta nel singolo caso concreto.
La giurisprudenza si è più volte confrontata, a riguardo, rispetto al reato
di truffa (fattispecie rientrante tra i cd. reati a consumazione prolungata), per
arrivare a concludere per l'integrazione della responsabilità (come nel caso
della truffa per il conseguimento di erogazioni pubbliche) anche qualora sia
solo l'ultima erogazione, o parte di essa, a ricadere nella normativa, dopo la
sua entrata in vigore398.
Riservandosi di trattare più dettagliatamente la disciplina degli artt. 5, 6
e 7 del decreto in esame nel successivo paragrafo, occorre terminare il quadro
generale che supporta l'intero impianto legislativo con l'analisi di alcune
disposizioni.
L'art. 8 è rubricato “Autonomia delle responsabilità dell'ente”. La
responsabilità della persona giuridica, infatti, in virtù di tale disposizione, si
riscontra anche quando l'autore del reato non sia stato identificato o non sia
imputabile, nonché qualora si sia verificata una causa di estinzione diversa
dall'amnistia, sempre che, salvo diversa disposizione legislativa, non si rientri
in un'ipotesi in virtù della quale l'imputato abbia rinunciato all'applicazione
dell'amnistia stessa (in questo caso, allora, la responsabilità dell'ente dovrà
ritenersi esclusa). Viene in tal senso posta l'attenzione sullo svolgimento, nella
prassi, dei processi organizzativi che si profilano normalmente all'interno delle
imprese moderne: il fenomeno della decentralizzazione determina, infatti, una
notevole difficoltà nella localizzazione del soggetto, inteso come singolo
individuo effettivamente responsabile e rende complessa la ricostruzione della
responsabilità medesima; escludere l'attribuzione di responsabilità alla persona
giuridica solamente quale conseguenza di un'insufficiente riconducibilità del
fatto illecito alla persona fisica (soluzione, questa, adottata, per esempio, dal
codice penale dell’ordinamento francese) significherebbe impedire «la
398
Si veda, ad esempio, Cass. II, 09/07/2010, n. 28683.
197
manovrabilità e la praticabilità del meccanismo»399 fondante l'intera ratio della
disciplina del decreto in oggetto.
Infine, relativamente all'apparato sanzionatorio, occorre operare una
suddivisione degli strumenti punitivi, ai sensi degli artt. 9 e ss.
A fronte dell'elencazione delle sanzioni amministrative operata dall'art.
9 del decreto400, in primo luogo, emerge la categoria delle sanzioni pecuniarie
che vanno applicate “sempre” ed irrogate secondo un meccanismo cd. “per
quote”, fondato su una duplice graduazione; sarà compito dell'organo
giudicante stabilire l'ammontare finale, in considerazione, sia del numero di
quote, sia del valore di ciascuna di esse (ex artt. 10, 11 e 12).
In secondo luogo, vengono individuate le sanzioni interdittive,
applicabili, sulla base di criteri di scelta stabiliti, soltanto ove la legge lo
preveda, nonché congiuntamente alle pene pecuniarie (artt. 13, 14, 15).
Ancora, all'art. 18 è stata prevista la pubblicazione della sentenza di
condanna; infine, l'art. 19 si occupa dell'applicabilità all'ente della confisca (e
di sequestro preventivo finalizzato alla confisca)401. Giova solo accennare
come quest'ultimo istituto sanzionatorio sia ritenuto pena principale
nell'ambito della responsabilità delle persone giuridiche (figurando al comma
399
In tal senso, C. DE MAGLIE, Principi generali e criteri di attribuzione della
responsabilità, in Diritto Penale e Processo, n. 11/2001, 1349 ss.
400
Per una penetrante ed approfondita disamina della disposizione citata, si veda il
commento di L.D. CERQUA - D. FONDAROLI, nel Commentario al D. LGS. 23172001,
M. LEVIS - A. PERINI (a cura di), La responsabilità amministrativa delle società e degli
enti, Zanichelli, 2014 LEVIS - PERINI; si veda anche il contributo ad ampio spettro sul
profilo sanzionatorio di G. DE SIMONE, Un primo sguardo al diritto vigente: le ipotesi
responsabilità e i meccanismi sanzionatori previsti prima (o comunque al di fuori) del D.
Lgs. n. 231 del 2001, in Persone giuridiche e responsabilità da reato, Ets, Pisa, 2012.
401
In merito, si cita, a titolo esemplificativo, la nota pronuncia relativa al caso Fisia
Italimpianti S.p.a., sottoposto al vaglio di Cass. S.S. U.U. 2 luglio 2008, n. 26654: «in tema
di responsabilità degli enti collettivi, la confisca del profitto del reato prevista dagli artt. 9 e
19 d.lgs. n. 231 del 2001 si configura come sanzione principale, obbligatoria ed autonoma
rispetto alle altre previste a carico dell'ente, e si differenzia da quella configurata dall'art. 6,
quinto comma, del medesimo decreto, applicabile solo nel caso difetti la responsabilità della
persona giuridica, la quale costituisce invece uno strumento volto a ristabilire l'equilibrio
economico alterato dal reato presupposto, i cui effetti sono comunque andati a vantaggio
dell'ente (…) il profitto del reato oggetto della confisca di cui all’art. 19 (…) si identifica con
il vantaggio economico di diretta e immediata derivazione causale dal reato presupposto».
198
1 lett. c) dell’art. 9 cit.), a differenza di quanto disposto nel codice penale
relativamente ai reati attribuibili alle persone fisiche.
§
1.2
MODELLI
ORGANIZZATIVI
E
COLPEVOLEZZA
DI
ORGANIZZAZIONE
.
La previsione relativa all'adozione ed alla concreta progettazione dei
modelli organizzativi risulta essere un profilo della normativa402 legato in
maniera inscindibile, da un lato, al concetto della cd. colpa in organizzazione
(e della conseguente indagine circa la necessità del delinearsi di un obbligo
giuridico di impedire l'evento); dall'altro alla tematica del «rischio di reato
come nuovo profilo di rischio dell'impresa»403.
Procedendo con ordine, si è spesso cercato di offrire una soluzione circa
la sussistenza, in capo agli enti, di un obbligo di adozione dei modelli di
organizzazione e di gestione dell'attività imprenditoriale. Se talvolta si è
parlato di «obbligo implicito di adozione»404 dei modelli, l'opinione prevalente
in dottrina sembra optare per la facoltatività degli stessi, i quali non
arriverebbero ad assurgere a condizione necessaria per l'esclusione della
responsabilità dell'ente (diversamente dall'obbligo vero e proprio che
graverebbe in capo agli organi societari)405.
402
Nell'affrontare la trattazione, si è avuto altresì riguardo a A. GIARDA - E.M. MANCUSO
- G. VARRASO - G. SPANGHER, Responsabilità "penale" delle persone giuridiche. D.Lgs.
8 giugno 2001, n. 231, Ipsoa, 2007, con - tra gli altri - i contributi di P. SFAMENI, G.
GARUTI, T.E. EPIDENDIO, S. GIAVAZZI.
403
Diffusamente sul punto, nell'ottica volta a sottolineare tale «elemento di forte innovazione
nella gestione aziendale, che si riflette per il suo rilievo a tutti i livelli, fino a quello della
governance societaria», P. BASTIA Criteri di progettazione dei modelli organizzativi, La
responsabilità amministrativa delle società e degli enti, n. 2, 008.
404
L’espressione è riconducibile al contributo di L. PETTINATO, Modelli di organizzazione
e controllo ex d.lgs. n. 231/2001, c’è un obbligo implicito di adozione? Impresa c.i., n. 7-8,
2006, 1099 ss.
405
G. FORTI, Uno sguardo ai “piani nobili” del d.lgs. 231/2001, in Rivista Italiana Diritto e
Procedura Penale, n. 4, 2012, p. 1249 ss. (anche con rif. a C. PIERGALLINI, Paradigmatica
dell’autocontrollo penale (dalla funzione alla struttura del “modello organizzativo” ex d.
lgs. n. 231/2001), in Scritti in onore di Mario Romano, Napoli 2011, vol. III, p. 2049 ss.): «la
tesi finora prevalente è stata che l'adozione del modello sia del tutto facoltativa: lo si
199
Si è pertanto assistito, fin da subito, ad una innovazione del concetto
stesso di colpevolezza, che si sviluppa basandosi su di un meccanismo per il
quale «il fatto costituente reato, commesso da un dipendente o esponente
dell'ente, opera su un doppio piano, giacché integra, a un tempo, un reato
ascrivibile all'individuo che lo ha commesso (punibile con sanzione penale) e
un illecito amministrativo (punibile con sanzione amministrativa) per l'ente
nell'interesse o a vantaggio del quale quel medesimo fatto è stato
commesso»406.
Come noto e da più parti osservato, «la dimensione ‘polisensa’ della
colpa in organizzazione» muove dal «superamento del dogma societas
delinquere (et puniri) non potest»407, per arrivare a fondare una dimensione
collettiva di stampo punitivo, sotto il profilo penalistico, il cui aspetto
problematico risiede nella individuazione di validità e limiti della categoria
medesima. Occorre pertanto, in primo luogo, sgombrare il campo del concetto
in esame da tutti gli ambiti che apparentemente potrebbero esservi ricondotti,
ma che, in realtà, vengono regolati da principi opposti, quali quello di
affidamento o della delega di funzioni408. Al contrario, in senso positivo, sarà
ricaverebbe dal tenore letterale degli artt. 6 e 7 e dal contenuto della relazione governativa al
d.lgs. 231/2001. Si è richiamata in proposito la figura dell'onere, che esalterebbe, specie
nell'art. 6, la rilevanza ad probationem del modello, finalizzato a non incorrere nella
responsabilità amministrativa. Si è viceversa ravvisato in dottrina l'obbligo e non l'onere di
adozione dei modelli, almeno con riferimento agli organi sociali e sulla base del diritto
societario del 2003, «in cui il principio di adeguatezza degli assetti organizzativi interni
all'impresa è assurto ad autentica ‘architrave’ della governante delle società per azioni».
L'art. 2381 c.c. impone, infatti, agli organi societari “di predisporre assetti organizzativi,
amministrativi e contabili adeguati alla natura e alle dimensioni dell’impresa azionaria,
informandone il consiglio di amministrazione, chiamato, a sua volta, a ‘valutare’ tale
adeguatezza”. L'art. 2403 c.c. attribuisce, poi, ai sindaci un obbligo di vigilanza sui principi
di corretta amministrazione e sull’adeguatezza dell’assetto organizzativo, amministrativo e
contabile adottato dalla società».
406
R. RORDORF, Prime (e sparse) riflessioni sulla responsabilità amministrativa degli enti
collettivi per reati commessi nel loro interesse o a loro vantaggio, in Atti del Convegno “La
riforma del diritto societario”, Milano, 2000.
407
C. E. PALIERO - C. PIERGALLINI, La colpa in organizzazione, in La responsabilità
amministrativa delle società e degli enti, n. 1, 2006, pp.167 ss.
408
Ci si riferisce alle «ipotesi d'interazione soggettiva a struttura semplice orizzontale», ove
«una pluralità di soggetti è chiamata a disimpegnare una mansione o un ruolo - per lo più, in
tipica “posizione di garanzia” - in vista di della tutela di un ben preciso bene giuridico...(si
200
necessario, dunque, riferirsi a quelle strutture complesse, nell'ambito delle
quali il governo dei processi decisionali è retto da soggetti che operano in
team, nonché dalla violazione di norme cautelari finalizzate alla prevenzione
degli eventi dannosi, integranti fattispecie di reato. Il tutto, ovviamente, in
un'ottica della gestione del rischio, volta ad evitare una successiva
distribuzione della responsabilità che, appunto, deriva dalla «complessità della
organizzazione delle imprese moderne», aspetto - quello della complessità
strutturale degli organi societari - che rende assai complesso tale
accertamento409.
Non sarà più sufficiente, quindi, la sola connessione con l'illecito e la
“seriousness of the offense” sul piano oggettivo: il reato dovrà anche risultare
quale proiezione di una politica aziendale precisa, ovvero dovrà, comunque,
rappresentare la derivazione di una “colpa di organizzazione”, la quale si riveli
integrante di determinate condotte od omissioni che diano luogo a tale forma
di responsabilità410. Quest'ultima si configurerà, allora, in conseguenza
dell'inottemperanza all'attuazione di efficaci modelli organizzativi di
prevenzione e riduzione dei comportamenti colposi o dolosi dei soggetti attivi
all’interno dell'ente ed il rimprovero si atterrà all'insufficienza di una
«adeguata struttura di ‘legalità aziendale’, capace di reggere in termini
costituzionalmente corretti (…) una responsabilità anche nel caso in cui
pensi, ad esempio alle ipotesi di responsabilità medica di équipe). Parimenti estranea alla
colpa di organizzazione appare la tematica relativa alle ipotesi d'interazione soggettiva a
struttura complessa verticale (paradigma complesso a schema sequenziale)». Cfr. PALIERO
- PIERGALLINI, La colpa in organizzazione, op. cit. p. 168.
409
La ricostruzione, in questi termini, della struttura del reato è operata da G. COCCO,
L’illecito degli enti dipendente da reato ed il ruolo dei modelli di prevenzione, in Rivista
Italiana Diritto e Procedura Penale, n. 1, 2004, 90 ss.
410
Vi è chi ritiene corretta la qualificazione del criterio di imputazione come “colpa” in
senso giuridico, «perché esso investe le regole di prudenza-diligenza idonee ad evitare certi
eventi, esattamente come della violazione di regole similari si tratta quando occorre
determinare la prudenza-diligenza tenuta da una singola persona fisica nell’eventualità che
essa abbia causato un danno (…) civile o amministrativo». Così, R. PALMIERI, in Modelli
organizzativi, diligenza e “colpa” amministrativa dell’impresa, in Diritto e pratica delle
società, n. 10, 2001, 7 ss.
201
l’autore non sia stato individuato o non sia imputabile oppure il reato sia
estinto»411.
L'onere organizzativo ascritto all'ente sembra, in sintesi, assumere le
sembianze di un dovere giuridico per i soggetti destinatari dello stesso, tale da
arrivare a qualificare una vera e propria posizione di garanzia, nonostante
l'adozione dei modelli rimanga, secondo la lettera della legge, un atto
discrezionale dell'azienda.
Ai fini dell'esclusione della responsabilità o della riduzione del carico
sanzionatorio, la fissazione delle procedure di comportamento risultano, in
quanto ad accertamento, di importanza determinante, sia quando coloro che
agiscono antigiuridicamente si possano identificare, ai sensi dell'art. 6
(Soggetti in posizione apicale e modelli di organizzazione dell'ente), in coloro
che ricoprono posizioni ai vertici dell'azienda, sia qualora, invece, la condotta
sia stata portata a termine dai dipendenti degli stessi agenti della prima
categoria, secondo quanto disposto dall'art. 7 (Soggetti sottoposti all'altrui
direzione e modelli di organizzazione dell'ente). Proprio a tal proposito,
diversi Autori hanno cercato, negli anni, di chiarire concretamente (anche alla
luce dei plurimi modelli societari ammessi nel nostro ordinamento) a quali
destinatari si riferisca la normativa in oggetto, nel momento in cui volge
l'attenzione ai soggetti ‘apicali’412.
Corollario di tale “obbligo” così ricavato, tuttavia, si identifica nel
contenuto del dovere di auto-organizzazione ad esso strettamente connesso: gli
articoli 5, 6 e 7 del d.lgs. 231/2001 si occupano, appunto, di enucleare i criteri
oggettivi e soggettivi di imputazione dei modelli, al fine di realizzare
compiutamente i dettami in materia.
411
A. ALESSANDRI, La responsabilità amministrativa delle persone giuridiche:
osservazioni generali, in Responsabilità d’impresa e strumenti internazionali anticorruzione.
Dalla Convenzione OCSE 1997 al D.Lgs. 231/2001, di G. Sacerdoti, Milano, 2003, 143 ss.
412
La raccolta, senza pretesa di esaustività viene operata da A. BERNASCONI, Sistema
disciplinare per soggetti apicali, apparato sanzionatorio e stock options: profili
problematici, in La responsabilità amministrativa delle società e degli enti, Plenum, n. 2,
2007.
202
§ 2 I CRITERI DI IMPUTAZIONE
§ 2.1 I criteri di imputazione oggettivi: l'articolo 5 d.lgs. 231/2001 § 2.2 I
criteri di imputazione soggettivi: gli articoli 6 e 7 d.lgs. 231/2001
§ 2.1 CRITERI DI IMPUTAZIONE OGGETTIVI: L'ARTICOLO 5 D.LGS.
231/2001
L'art. 5 del decreto statuisce che l'ente è responsabile “per i reati commessi nel
suo interesse o a suo vantaggio”: da questa norma si evincono, dunque, i
criteri oggettivi volti all'attribuzione della responsabilità413. La norma, come
primo requisito fondamentale, fa riferimento a reati commessi nell'interesse o
a vantaggio dell'ente414, anche solo parzialmente, nonché riconoscibilmente ed
obiettivamente connessi alla condotta dell'autore; secondariamente, l'ente non
risponderà qualora tali soggetti abbiano agito “nell'interesse esclusivo proprio
o di terzi”; infine, gli autori devono essere persone fisiche qualificate dalla
posizione apicale che ricoprono all'interno dell'organizzazione, ossia si
identificheranno in “persone che rivestono funzioni di rappresentanza, di
amministrazione o di direzione dell'ente o di una sua unità organizzativa
dotata di autonomia finanziaria e funzionale, nonché persone che esercitano,
anche di fatto, la gestione e il controllo dello stesso”, ovvero “persone
413
Ex plurimis, Cass. pen. sez. II, 30 gennaio 2006, n. 3615: «in tema di responsabilità da
reato delle persone giuridiche e della società, l'espressione normativa, con cui se ne individua
il presupposto nella commissione dei reati ‘nel suo interesse o a suo vantaggio’ non contiene
un'endiadi, perché i termini hanno riguardo a concetti giuridicamente diversi, potendosi
distinguere un interesse a monte per effetto di un indebito arricchimento, prefigurato e
magari non realizzato, in conseguenza dell'illecito, da un vantaggio obiettivamente
conseguito con la commissione del reato, seppure non prospettato ex ante».
414
In ordine a questo aspetto, parallelamente alle enucleazioni giurisprudenziali, anche
autorevoli voci hanno distinto, fin da subito, tra finalizzazione della condotta (interesse in
quanto tale) e beneficio ottenuto dall'autore materiale della condotta criminosa stessa,
realizzatasi indipendentemente dallo scopo perseguito (vantaggio). L'accertamento del primo
aspetto avverrà, da parte del giudice, ponendo in essere una valutazione ex ante; per quello
del secondo si opererà mediante un giudizio ex post. Così, già DE SIMONE, I profili
sostanziali della responsabilità c.d. amministrativa degli enti: la “parte generale” e la
“parte speciale” del d.lgs. 8 giugno 2001 n.231, in GARUTI (a cura di), Responsabilità
degli enti per illeciti amministrativi dipendenti da reato, Padova 2002, 101 ss.
203
sottoposte alla direzione o alla vigilanza” (e quindi in posizione subordinata)
dei primi.
Tra gli aspetti critici che l'art. 5 pone, di particolare interesse risultano
due profili: il primo, attinente alla tematica della definizione dell'interesse e
vantaggio nei reati di natura colposa; il secondo, relativo al cd. interesse di
gruppo415.
Quanto al primo nodo problematico, si osserva come la questione
investa l'introduzione legislativa recente (precisamente nel 2011, con
modifiche aggiunte nel maggio 2015 circa gli ecoreati) nel catalogo dei cd.
reati presupposto di reati colposi: il riferimento è all'art. 25-septies in materia
di salute e sicurezza sul lavoro416 ed all'art. 25-undecies per quanto attiene ai
reati ambientali. Parte della dottrina ha da subito ravvisato, contestualmente
auspicando un nuovo intervento del legislatore, una incompatibilità di fondo
rispetto a tali reati colposi d'evento che colliderebbero con la nozione stessa di
interesse e vantaggio dell'ente e comporterebbero una lesione del divieto di
analogia in malam partem417. La giurisprudenza, d'altra parte, ha cercato di
415
Sull'argomento, si veda il commento di F. SGUBBI e A. ASTROLOGO, in M. LEVIS A. PERINI (a cura di), La Responsabilità amministrativa delle società e degli enti,
Zanichelli, 2014.
416
Sul tema FORTI, Uno sguardo ai piani nobili, op. cit., p. 1268: «assume indubbiamente
un certo significato la recente previsione di cui all'art. 30, T.U. Sicurezza introdotto dal d.lgs.
81/2008, che, prescrivendo come modello di organizzazione e gestione idoneo a escludere la
responsabilità amministrativa degli enti collettivi, rispetto ai reati ex art. 25-septies, quello
“adottato ed efficacemente attuato” conformemente a specifici elementi, ripropone con
astringenza la questione dell'obbligatorietà dei modelli, sia in generale, sia con specifico
riferimento alla materia della salute e della sicurezza nei luoghi di lavoro. A tale riguardo,
nonostante la pregnanza della disciplina del t.u., risulta sostenibile - ed è in effetti sostenuta
da più parti - la tesi che anche in questa materia sia da escludere un'obbligatorietà dei
modelli, pur rappresentandosi fermamente l'esigenza che, in caso di loro adozione, l'ente sia
comunque tenuto a “mappare” i relativi rischi con l'apprestamento di un sotto-sistema
“dedicato”, conforme ai requisiti tecnici indicati dai commi 2,3 e 4, art. 30».
417
In tema, C. RUGA RIVA, Il decreto legislativo di recepimento delle direttive comunitarie
sulla tutela penale dell’ambiente: nuovi reati, nuova responsabilità degli enti da reato
ambientale, in www.penalecontemporaneo.it.; cfr. anche G. DE SIMONE, La responsabilità
da reato degli enti: natura giuridica e criteri oggettivi di imputazione, sempre in
www.penalecontemporaneo.it: «la legge richiede che il reato, e non la condotta inosservante,
sia posto in essere nell'interesse della societas. Ritenendo, invece, che sia proprio questa
condotta il ‘referente normativo’ del criterio di imputazione, si finirebbe con l’attribuire
204
ricondurre l'evento del reato integrato nel caso concreto (e sempre in chiave
oggettiva) all'omessa adozione delle misure cautelari richieste dalla normativa,
al fine di affermare la sussistenza del nesso causale tra condotta e vantaggio
ottenuto dalla persona giuridica considerata, spesso riconosciuto nel cd.
risparmio di spesa (o dei costi di gestione)418.
Per ciò che attiene al secondo aspetto, invece, si tratta di inquadrare il
fenomeno dei gruppi di società, posta la ancora non trattata questione della
configurabilità dell'«interesse di gruppo»419. A tal riguardo si è talora fatto
ricorso alla categoria del cd. interesse misto (sulla persona giuridica
considerata nel suo complesso di società controllate e controllanti che
partecipano agli utili, nonché su quella fisica), da accostarsi all'interesse
dell'ente ed a quello eventualmente esclusivo delle persone fisiche. Tuttavia,
qualora venga riscontrato un interesse di gruppo in presenza di aggregazioni
societarie (circostanza che non consentirebbe il ricorso alla clausola di esonero
prevista dall'art. 5 comma 2 del decreto), pare più corretto valutare
l'attribuzione della responsabilità in capo ad ognuna delle singole imprese420,
evitando di considerare la singola unità quale terzo soggetto agente, ossia alla
stregua di un singolo che ponga in essere condotte illecite, riconducibili
unicamente al medesimo.
§
2.2
CRITERI
DI
IMPUTAZIONE
SOGGETTIVI
E
MODELLI
ORGANIZZATIVI: GLI ARTICOLI 6 E 7 D.LGS. 231/2001
all'art. 5, comma 1, d.lgs.231, un significato diverso da quello che ha voluto dargli il
legislatore».
418
Una rassegna giurisprudenziale completa è operata da T.M. EPIDENDIO - G. PIFFER,
La responsabilità degli enti per reati colposi in Le Società, fasc. speciale 12s, 2011, pp. 35
ss; cfr. anche il recente contributo di N. SELVAGGI, Reato colposo e interesse dell'ente. Le
Sezioni Unite tra vecchie e nuove questioni, in Le Società, n. 3, 2015, pp. 357 ss.
419
Così, L. PISTORELLI, Brevi osservazioni sull’interesse di gruppo quale criterio
oggettivo di imputazione della responsabilità da reato, in La responsabilità amministrativa
delle società e degli enti, n. 1, 2006, p. 11.
420
Sulla problematica in generale, SANTORIELLO, Gruppi di società e sistema
sanzionatorio del D. Lgs. 231/2001, in La responsabilità amministrativa delle società e degli
enti, n.4, 2007, p. 41.
205
Prima di addentrarsi in una disamina critica delle disposizioni
interessate, è doveroso profilare sinteticamente lo scenario normativo di
partenza. Posto che per l'individuazione della prima categoria di soggetti, il
legislatore ha utilizzato un criterio di rappresentatività, parallelo a quello
civile421, affiancato ad uno di effettività, tipicamente penale, per il quale si
andrà ad individuare il soggetto concretamente agente, al di là della qualifica
ricoperta, ciò che rileva sarà l'emersione di un sostanziale dominio sull'ente da
parte di chi possiede questo diritto, sia a titolo originario che delegato.
Il modello di colpevolezza, come visto, è costruito dal legislatore
secondo uno schema negativo, impostato con lo scopo di «valorizzare in
chiave esimente il rispetto di adeguate regole di diligenza auto-imposte da
parte della società e specificamente finalizzate a prevenire il rischio-reato da
parte dei vertici»422 che si articola in modo differente, a seconda che il fatto sia
realizzato da soggetti apicali o da sottoposti.
Per quanto riguarda la prima ipotesi, infatti, l'art. 6, comma 1 pone in
capo alla persona giuridica l'onere di dimostrare la propria assenza di
colpevolezza, fornendo la prova in base alla quale sia evidente che l'organo
dirigente abbia adottato ed efficacemente attuato, prima della commissione del
fatto, modelli di organizzazione e di gestione idonei a prevenire reati della
specie di quello verificatosi (ossia, un complesso di strumenti atti a formare il
c.d. “scudo protettivo”); risulti che sia stato affidato il compito di vigilare sul
funzionamento, l'osservanza e l'aggiornamento dei programmi organizzativi ad
un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo (e
421
Dalla stessa Relazione Ministeriale: «se gli effetti civili degli atti compiuti dall'organo si
imputano direttamente alla società, non si vede perché altrettanto non possa accadere per le
conseguenze del reato, siano esse penali o - come nel caso del decreto legislativo amministrative».
422
C. PALIERO, Il d.lgs. 8 giugno 2001, n. 231: da ora in poi, societas delinquere (et
puniri) potest, in Corriere Giuridico, n. 7, 2001, 845 ss. Similmente, G. DE VERO: «la prova
dell'adeguata vigilanza si atteggia a vera e propria scusante, rispetto ad una fattispecie di
responsabilità già di per sé integrata sulla base del reato commesso dall'apice nell'interesse
dell’ente», Struttura e natura giuridica dell’illecito di ente collettivo dipendente da reato, in
Rivista Italiana Diritto e Procedura Penale, n. 4, 2001, 1126 ss.
206
che questi non abbia omesso di vigilare oppure abbia monitorato in modo
insufficiente); emerga che le persone alle quali la paternità dell'illecito è
attribuito abbiano posto in essere il reato, eludendo fraudolentemente i
meccanismi di gestione aziendale. L'idea che soggiace al fatto che l'onere
gravi sull'ente quando il vantaggio o l'interesse che esso riceve derivi da un
esponente del vertice, risiede nella capacità di quest'ultimo di essere costante
manifestazione esterna dell'ente stesso, tanto durante tutte le attività e relazioni
che questo intraprende usualmente, quanto a livello di impegno nella
responsabilità, ossia,
anche in ordine
alle conseguenze
sul piano
sanzionatorio423.
Nella seconda ipotesi, invece, l'art. 7 riguarda gli illeciti commessi dai
c.d. “sottoposti” o “subordinati”, concretizzando pertanto «una classica
fattispecie colposa; più precisamente, la responsabilità dell'ente, nella misura
in cui espressamente viene fatta discendere da un difetto di vigilanza e di
controllo, risulta giocoforza inquadrabile in uno schema concorsuale di
agevolazione colposa (o di mancato impedimento colposo) del fatto commesso
dalla persona fisica/dipendente dall'organizzazione societaria»424. E ciò, in
quanto l'ente risulta responsabile “se la commissione del reato è stata resa
possibile dall'inosservanza degli obblighi di direzione o vigilanza”,
normalmente in capo ai soggetti apicali, i quali, tuttavia, non siano gli autori
dell'illecito di riferimento. Tale inosservanza è, comunque, esclusa, dal comma
2, nel caso in cui l'ente, prima della commissione del reato stesso, abbia
adottato (predisponendolo) ed efficacemente attuato (il funzionamento deve
essere concreto, mediante periodiche verifiche ed eventuali modifiche),
parallelamente a quanto avviene nell'ambito di operatività coperto dall'art. 6,
423
Occorre segnalare le modifiche operate alla disposizione in parola, dapprima con il
decreto 26 giugno 2003, n. 201 (modifica del comma 3) e, recentemente, con la legge 12
novembre 2011, n.183 (introduttiva del comma 4-bis).
424
Ex multis, ci si riferisce al commento dell'art. 7 di C.E. PALIERO, in M. LEVIS - A.
PERINI, La responsabilità amministrativa delle società e degli enti, Zanichelli 2014; nonché
C. PIERGALLINI, Paradigmatica dell’autocontrollo penale (dalla funzione alla struttura
del «modello organizzativo» ex D.Lgs. 231/2001), in AA. VV. Studi in onore di Mario
Romano, Milano, 2011, vol. III, p. 2049 ss.
207
un modello di organizzazione e di gestione idoneo alla prevenzione degli
illeciti in questione. Sostanzialmente, la funzione del modello assume
rilevanza fondamentale anche in situazioni di questo genere, ma in posizione
diversa: la sola negligenza dei preposti al controllo sui dipendenti non
dimostra, di per sé, l'inefficienza delle procedure di organizzazione e gestione
aziendale, ma l'ente sarà reso responsabile solo se nella sua organizzazione «vi
sia stato un ‘deficit’ di direzione e vigilanza»425, ossia soltanto quando la sua
struttura non abbia posto in essere ogni cautela prevista per la neutralizzazione
del rischio della realizzazione dei reati. Inoltre, nel caso in cui si sia realizzata
una disfunzione nella catena organizzativa aziendale, non si assiste nemmeno
ad un'inversione dell'onere della prova, in quanto spetterà alla pubblica accusa
dimostrare le mancanze della persona giuridica sotto processo.
Ciò che muta, tra le due fattispecie, sono le variabili che l'ente deve
tenere in considerazione durante la redazione: rispetto all'art. 6, comma 2,
vengono meno, nell'art. 7, il riferimento all'estensione dei poteri delegati
(ovviamente, dal momento che tale ultima norma tratta degli illeciti commessi
da soggetti privi di poteri decisionali, anche derivati) e quello al rischio di
commissione dei reati; a proposito di quest'ultimo aspetto, si riscontra un
dettato sicuramente connotato da maggiore singolarità, in quanto, anche per
questi reati deve tenersi conto del rischio connesso all'attività svolta dall'ente.
È possibile però un recupero del dato, grazie al secondo comma dello stesso
articolo, nel quale vengono citati l'attività svolta, la natura e la dimensione
dell'organizzazione. Rispetto al “contenuto minimo” dei compliance programs
disciplinati per i vertici, infine, sono altresì richieste, per quelli dei sottoposti,
verifiche periodiche ed aggiornamenti dei modelli stessi; si tende tuttavia ad
estendere implicitamente tali attività anche ai sistemi di verifica dei reati
commessi dai soggetti apicali.
425
ALESSANDRI, La responsabilità amministrativa, op. cit.
208
Ai fini processuali, per l'impostazione della difesa della società, sarà
importante saper agire diversamente, valutando le proprie strategie, qualora ci
si trovi a ricadere nell'ipotesi dell'art. 6, comma 1, ovvero in quella dell'art. 7.
Nella prima situazione, una mancata dimostrazione di quanto richiesto
dalla disposizione determinerà, a carico dell’ente, una responsabilità
amministrativa, eccetto che esso non dimostri la colpa di soggetti-persone
fisiche che abbiano agito esclusivamente per interesse proprio o di terzi (si
dovrà, infatti, chiarire come le modalità di aggiramento fraudolento del
modello non fossero ragionevolmente prevedibili426); nella seconda, invece,
sarà il pubblico ministero a doversi attivare per la ricerca di prove, questa
volta, a carico dell'ente stesso, il quale, diversamente, in mancanza di
dimostrazioni oggettive che lo inchiodino, verrà prosciolto, essendo in tal
caso, esclusa qualsiasi sua responsabilità, in quanto adozione ed efficace
attuazione dei modelli fungono da presunzione assoluta di aderenza alla
disciplina legislativa427.
Fondamentale, anche in chiave probatoria, il nesso tra l'inosservanza
del dovere di auto-organizzazione e il crimine in concreto perpetrato: «se il
sistema attribuisce rilievo alla messa in opera, da parte dell'ente, di strutture
e/o regole idonee a prevenire reati dolosi o colposi di soggetti a loro volta
responsabili, infatti, il solo modo perché la colpevolezza in questione non resti
un mero pretesto per punire indiscriminatamente l'ente pretende, per
426
Un modello «a prova di frode» sarà congegnato tenendo anche conto, in relazione
all’entità del rischio-reato, dell’eventuale movente che potrebbe spingere il soggetto in
posizione apicale; delle possibili modalità di aggiramento; della necessità di introdurre
misure volte alla prevenzione di eventuali tentativi di elusione fraudolenta. Così A.
FRIGNANI, P. GROSSO, G. ROSSI, I modelli di organizzazione previsti dal D. Lgs. n.
231/2001 sulla responsabilità degli enti, in Le Società, n. 2/2002, 143 ss.
427
Giova segnalare, a meri fini di completezza circa le generali problematiche processuali di
impatto più recente, la questione relativa all'ammissibilità o meno della costituzione di parte
civile nel processo instaurato per l'accertamento della responsabilità dell'ente stesso: Cass. 5
ottobre 2011, n. 2251 richiama la natura di “fattispecie complessa”, nella quale «il reato
costituisce solo uno degli elementi fondamentali dell'illecito, sicché appare ragionevole che
il legislatore abbia escluso la costituzione di parte civile»; sostanzialmente, il fatto che il d.
lgs. 231/2001 non abbia previsto l'istituto in discorso non equivarrebbe a lacuna legislativa,
ma rappresenterebbe il frutto di una scelta normativa consapevole.
209
l'affermazione della responsabilità di quest'ultimo, che vi sia un legame
specifico tra la violazione organizzativa e il singolo fatto criminoso»428 .
L'idoneità del modello organizzativo va analizzata avendo riguardo alla
coerenza tra le procedure attuate ed i requisiti che queste devono presentare e
che sono previste dagli articoli 6, comma 2 e 7, comma 4, seppur con
formulazioni differenti429; tali disposizioni, tuttavia, sono state oggetto di
molteplici critiche, relative all'insufficiente determinazione dei contenuti della
disciplina in questione ed al conseguente, eccessivo, margine di discrezionalità
lasciato al giudice penale nella valutazione di questo aspetto (l'organo
giudicante, infatti, si troverà a decidere su una materia che, in concreto,
coinvolge ed attiene l'attività aziendale e che normalmente è oggetto proprio
del giudizio imprenditoriale). Si è in proposito considerato come la
problematica sollevata si accosti alla struttura ed ai problemi in materia di
sicurezza sul lavoro430, ambito nel quale opera il d.lgs. 626/1994, ove si
configura per il datore di lavoro un dovere specifico e non delegabile di
valutazione del rischio, attinente all'organizzazione della sicurezza e
dell’igiene sul luogo di lavoro (situazione, quindi, facilmente avvicinabile con
il compito di adozione e di attuazione dei compliance programs, previsti nel
d.lgs. 231/2001). Entrambe le discipline richiedono, infatti, una formulazione
corretta e completa delle situazioni di rischio-reato, misure e regole di
comportamento idonee a fronteggiarle, capacità di adeguamento al mutamento
di tali realtà e relative garanzie di attuazione efficace. Il principale dato di
distanza fra le rispettive materie emerge dal fatto che “la ‘valutazione del
rischio’ (ex d.lgs. 626/1994) attiene a valutazioni scientifiche, tecniche ed
organizzative sul piano fattuale; quella che si vuole ora introdurre, non potrà
428
M. ROMANO, La responsabilità amministrativa degli enti, società, organizzazioni:
profili generali, in riv. Soc., 2002, p. 409.
429
Sul problema della valutazione giudiziale dell'idoneità del modello, alla luce delle ultime
sentenze di legittimità e della migliore dottrina, si veda cap. I, § 3.3.
430
Affronta il paragone R. LOTTINI, in PALAZZO - PALIERO, Commentario breve alle
leggi complementari, Padova, 2007, p. 2303, nonché D. PULITANÒ, La responsabilità “da
reato” degli enti: criteri di imputazione, in Rivista Italiana Diritto e Procedura Penale, n. 2,
2002, 431ss.
210
invece se non parametrarsi a realtà relative alla sociologia della produzione ed
alla disciplina dell'organizzazione aziendale, con scarsa - se non inesistente attinenza a fenomeni omogeneamente giuridici”431. La differenza sostanziale,
però, consiste nella previsione di leggi speciali, sulle misure di risk
management, per quanto riguarda la materia di sicurezza sul lavoro, apparato
normativo che invece risulta essere assente per i modelli di prevenzione che
l'ente dovrebbe adottare e che ha insinuato un sospetto di affievolimento del
principio di legalità in materia (lo sfondo di riferimento che si ottiene è
offerto, unicamente, dalle regole di prudenza, diligenza, perizia, rilevanti per
la colpa generica)432.
Occorre altresì ricordare che il primo provvedimento giurisdizionale
che si è occupato dettagliatamente di elencare ed esplicare i requisiti di
idoneità di modelli di organizzazione, gestione e controllo, previsti dagli
articoli
6 e 7 del d.lgs. 231/2001 e che vengano adottati prima della
commissione del reato, è stata l’ordinanza cautelare del Giudice per le
Indagini Preliminari del Tribunale di Milano, emessa il 20 settembre 2004, la
quale ha fornito importanti informazioni contenutistiche sulla materiale
redazione dei compliance programs433.
431
G. LANCELLOTTI, I modelli di organizzazione, gestione e controllo, in
www.reatisocietari.it, 2001.
432
Le tensioni tra colpa e principio di legalità, relative ad una clausola generale in materia di
sicurezza del lavoro (sui rischi da esposizione al rumore), emergono anche dalla sentenza
interpretativa di rigetto della Corte Costituzionale n. 312 del 1996, che ha risolto la questione
secondo un modello ricorrente ed analogo ai problemi dei modelli organizzativi: l'obbligo di
adottare, per la riduzione al minimo di dati rischi, le «misure tecniche, organizzative e
procedurali concretamente attuabili» viene valutata in base alla «discrezionalità
dell’interprete».
433
Il provvedimento è stato analizzato, proprio con riferimento a tale tematica,
nell’articolo di M. ARENA, Il “Decalogo 231” del Tribunale di Milano, in
www.reatisocietari.it. Le indicazioni che possono ricavarsi dal provvedimento sono
riassumibili in dieci direttive fondamentali che ineriscono alla costruzione del modello:
mappatura dei rischi di reato specifica, esaustiva e non meramente descrittiva o ripetitiva del
dettato normativo; componenti dell'organo di vigilanza in possesso di capacità specifiche in
tema di attività ispettiva e consulenziale; previsione quale causa di ineleggibilità a
componente dell’Organo di Vigilanza la sentenza di condanna o di patteggiamento non
irrevocabile; differenziazione tra formazione rivolta ai dipendenti nella loro generalità, ai
dipendenti che operino in specifiche aree di rischio, all'organo di vigilanza ed ai preposti al
controllo interno; previsione del contenuto dei corsi di formazione, la loro frequenza,
211
L'adozione dei modelli, infine, può anche avvenire post factum434, ossia
anche quando la sentenza di condanna sia già stata emessa, al fine di ottenere
la conversione delle sanzioni interdittive (le quali, normalmente, dispongono
la sospensione dell'attività dell'ente), tramite la contestuale nomina di un
commissario
giudiziario,
predisposizione
del
al
modello
quale
verrà
stesso.
La
affidato
funzione
il
compito
delle
della
procedure
comportamentali, quindi, non è solo di tipo preventivo, ossia inerente
all'idoneità dell'impedimento del sorgere della responsabilità dell'ente, ma
risulta essere anche quella di evitare, a posteriori, l'applicazione delle più gravi
sanzioni interdittive. In quest'ultima ipotesi, dunque, il giudice difficilmente
non concederà il beneficio richiesto dalla persona giuridica, in quanto, essa,
non avendo ancora avuto modo di attuare il modello introdotto
successivamente alla pronuncia giudiziale, non può essere limitata, a priori,
nella concreta sperimentazione del sistema organizzativo; il rischio, tuttavia,
diventa quello del possibile minor incentivo all'adozione dei modelli in qualità
di strumenti di prevenzione, nonché la prevedibile rarità dell'adozione di
misure interdittive, se non a titolo cautelare (e il conseguente problema di una
diminuzione del ricorso alla risposta sanzionatoria effettiva)435.
l'obbligatorietà della partecipazione ai corsi, controlli di frequenza e di qualità sul contenuto
dei programmi; espressa comminazione di sanzione disciplinare nei confronti degli
amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia
non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei
casi più gravi, perpetrazione di reati; presenza di sistematiche procedure di ricerca ed
identificazione dei rischi quando sussistano circostanze particolari; propulsione di controlli
di routine e controlli a sorpresa periodici nei confronti delle attività aziendali sensibili;
disciplina di un obbligo per i dipendenti, i direttori, gli amministratori della società di riferire
all’organismo di vigilanza notizie rilevanti e relative alla vita dell’ente, a violazioni del
modello o alla consumazione di reati, fornendo concrete indicazioni sulle modalità attraverso
le quali coloro che vengano a conoscenza di comportamenti illeciti possano riferire
all’organo di vigilanza; previsione di protocolli e procedure specifici e concreti.
434
FORTI, Uno sguardo ai piani nobili, (2012), op. cit. osserva, infatti, come, «ai modelli
compete in realtà una duplice funzione: sia esimente (oppure, a seconda delle diverse
prospettive teoriche: scusante, o di esclusione della punibilità, o impeditiva della
realizzazione degli elementi costitutivi della responsabilità), sia riparatoria».
435
Tale problematica veniva già affrontata da R. RORDORF, I criteri di attribuzione della
responsabilità. I modelli organizzativi e gestionali idonei a prevenire i reati, in Le società, n.
11/2001, 1297 ss. Si veda anche CENTONZE, La co-regolamentazione dell'attività
d'impresa nel d.lgs. 231/2001. Il problema dell'importazione dei compliance programs,
212
Si passa, a tal punto, ad analizzare i profili critici che le disposizioni in
oggetto pongono, nonché il procedimento di concreta attualizzazione dei
criteri di progettazione che i modelli organizzativi impongono dal punto di
vista della impostazione, valutazione e modalità di riduzione del rischio-reato.
Gli articoli 6 (in modo espresso) e 7 (attraverso un'interpretazione teleologica)
del d.lgs. 231/2001436, prevedono che l'ente affidi ad un proprio organismo,
“dotato di autonomi poteri di iniziativa e di controllo”, la vigilanza sul
funzionamento e l'osservanza dei modelli, nonché la cura del rispettivo
aggiornamento, stabilendo parallelamente, quale ausilio, obblighi di
informazione a carico dei soggetti e degli altri organi coinvolti
nell'organizzazione aziendale. Se, infatti, «adeguatezza e adattabilità nel
tempo costituiscono ‘i due principali requisiti di progettazione e di correzione
del modello organizzativo’, è sulla costituzione e sulla incisività operativa di
un Organismo di Vigilanza ad hoc che riposano le chances di un'efficace
op.cit., p. 232: «per quanto riguarda il meccanismo premiale l'Italia ha scelto di mostrarsi
assai indulgente. Si prevede infatti l'adozione di modelli di organizzazione prima della
commissione dell'illecito esclude la responsabilità dell'ente (artt. 6 e 7 d.lgs. 231/2001);
l'adozione di questi modelli post delictum - e prima dell'apertura del dibattimento (che può
anche essere sospeso per consentire all'ente di eliminare le carenze organizzative che hanno
determinato il reato, art. 65) - può comportare, in presenza anche di altre condizioni,
l'attenuazione della sanzione pecuniaria e/o la mancata applicazione della sanzione
interdittiva, oltre che in quest'ultimo caso anche la non pubblicazione della sentenza di
condotta (artt. 12,13,17,18); persino nella fase di esecuzione, cioè a sentenza di condanna giù
emessa, il tardivo adempimento dei modelli consente (sempre insieme al ricorrere di altri
presupposti) di ottenere la conversione dell'eventuale sanzione interdittiva in sanzione
pecuniaria (art. 78); infine in presenza di effettivi e adeguati modelli possono anche venire
meno i requisiti per l'applicazione delle temibili misure cautelari interdittive, le quali
comunque possono essere sospese dal giudice se solo «l'ente chiede di poter realizzare gli
adempimenti in cui la legge condiziona l'esclusione di sanzioni interdittive a norma dell'art.
17 (art. 49)».
436
Analizzando il dato normativo, l'art. 6, comma 2 non cita l'Organismo di Vigilanza tra gli
elementi costitutivi del modello; esso però prevede la disciplina dei flussi informativi
destinati all'organo in parola, dando per scontato che esso risulti parte integrante del modello
stesso; inoltre, dalla formulazione dell'art. 7 (“Modelli di organizzazione, gestione e
controllo”), sembra emergerne una connotazione di «coelemento essenziale del modello
organizzativo». Parimenti, tale organismo sembra ritenersi elemento strutturale
indispensabile di ogni modello, ancorché non espressamente previsto dalla disposizione
rivolta ai soggetti sottoposti, al fine di evitare «inevitabili ricadute in termini di requisiti
soggettivi e criteri di nomina idonei alla funzione». Di questo avviso, P. SFAMENI,
Responsabilità da reato degli enti e nuovo diritto azionario: appunti in tema di doveri degli
amministratori ed organismo di vigilanza, in Rivista delle Società, n. 1, 2007, 164 ss.
213
attuazione del medesimo, ovvero, la condizione imprescindibile per invocare
l'esimente di cui all'art. 6»437 del decreto stesso. Nello specifico, i compiti ad
esso assegnati si riassumono nella vigilanza sulla rispondenza dei
comportamenti concretamente realizzati all'interno dell’ente con le previsioni
del modello; nella valutazione dell'adeguatezza del modello stesso, a seguito
di un'analisi delle attività svolte della società in termini di idoneità
all'esclusione di categorie di reati; nella revisione e nel perfezionamento del
modello, attraverso una fase preventiva delle mutate condizioni aziendali e
mediante una fase successiva di verifica della funzionalità delle innovazioni
presentate. Per ottemperare a queste mansioni definite di “alta funzione”,
«l'organismo di controllo dovrà avvalersi, in quanto esistente del supporto
della funzione di Internal auditing, dotata di professionalità specifiche, di
idonee strumentazioni -anche informatiche- e di adeguate metodologie di
controllo a distanza e di poteri ispettivi»; tutto ciò pare indispensabile ad un
agevole coordinamento, in particolare il fatto che «il responsabile della
revisione interna partecipi regolarmente alle riunioni dell'organismo di
controllo. In alternativa, questi opererà comunque dall'esterno come ‘braccio
operativo’ a supporto dell'attività dell'organismo di controllo»438.
Per quanto attiene alle caratteristiche che l'organo in questione439 deve
possedere, ai fini di una sua adeguata configurazione, è indubbio che esse
attengano ad una serie di requisiti indispensabili in relazione all'adesione al
dettato normativo440. In primo luogo occorrerà che esso si trovi in una
437
Così, A. BERNASCONI, Modelli organizzativi, regole di giudizio e profili probatori, in
Il processo penale de societate, a cura di A. BERNASCONI, Milano 2006.
438
P. BASTIA, I modelli organizzativi, in Reati e responsabilità degli enti, a cura di G.
LATTANZI, Milano, 2005, 166-167.
439
Il legislatore non impone vincoli per quanto attiene alla natura del soggetto componente
l'organismo di vigilanza: esso potrà essere costituito tanto da persone fisiche, quanto da
società di revisione o di professionisti, purché sussistano i requisiti desumibili in via
interpretativa. Non soccorre, con chiarimenti, neppure la Relazione Ministeriale al decreto, la
quale si limita ad un generico riferimento a «strutture costituite all'interno della società».
440
Per un'approfondita disamina, si veda il commento all'art. 6 di B. ASSUMMA - M. LEI,
in M. LEVIS – A. PERINI (a cura di), La responsabilità amministrativa delle società e degli
enti, Zanichelli, 2014.
214
posizione di indipendenza ed autonomia rispetto ai vertici dell'ente, in quanto
l'estrinsecazione della sua operatività avviene mediante un'attività di
monitoraggio nei confronti di tali soggetti che deve essere necessariamente
connotata da imparzialità. Altro requisito fondamentale risulta essere la
professionalità (c.d. peritia artis), caratteristica necessaria nell'ambito di un
contesto per l'operare nel quale si esigono capacità idonee ad una reale e
quanto più possibile esatta valutazione (e relativa gestione) dei rischi, nonché
conoscenze specifiche inerenti alle procedure aziendali, di finanza, di
revisione, di diritto civile e penale, di pratica professionale. Infine, viene
conferita basilare importanza anche alla continuità dell'azione di monitoraggio
da parte del soggetto in parola, in vista di una garanzia di continuità nel
funzionamento e nell’aggiornamento del modello stesso, adottato dall'ente nel
quale svolge la sua attività: ciò si rende necessario specialmente nelle aziende
di medie o grandi dimensioni, per le quali le attività di vigilanza sul modello
devono essere abituali e regolari. Tale caratteristica di permanenza deve essere
accompagnata dall'efficacia della vigilanza medesima, la quale non dovrà
incontrare ostacoli nello svolgimento dei controlli, nell'estrinsecazione degli
ampi poteri ispettivi, nell'accesso alla documentazione ed ai locali dell'ente,
nella predisposizione del personale di sicurezza e nella libertà di intervista dei
dipendenti con garanzia di anonimato e segretezza.
La costruzione dei modelli comprende la difficile operazione di
coesione tra i criteri di diritto commerciale e di economia aziendale propri
della good governance con i principi che reggono l'accertamento penale dei
reati e la conseguente responsabilità in materia che ne deriva. La dottrina
afferma che: «l'istituto dei modelli di organizzazione e gestione, già da tempo
conosciuto da ordinamenti giuridici di tipo anglosassone, integra nella pratica
- secondo la definizione che ne dà una buona parte della dottrina penalistica
contemporanea - la realizzazione della ‘delega' di funzioni penali
dall'ordinamento statuale all'ambito privatistico, realizzando un modello in
215
cui su una logica di controllo successivo/punitivo, dovrebbe prevalere la
logica dell'organizzazione preventiva/gestionale». Si richiede, in sostanza, che
esso tenda a rappresentare «una mirabile sintesi tra statuto societario, sistema
di delega di poteri, organigramma aziendale, mansionario e codice di
autoregolamentazione etico-deontologico e di policy aziendale» 441. I modelli
in esame si presentano, per vari aspetti, simili ai sistemi di controllo interno442;
le relative attività devono essere poste in essere da una struttura che abbia una
collocazione stabile nella infrastrutture aziendali, che impieghi personale, che
operi in maniera procedimentalizzata e continua, che si concreti in un'attività
di controllo volta ad assicurare il rispetto di alcune norme di carattere penale
in capo ai soggetti che sono parte integrante della struttura aziendale: in questo
senso, il modello prescritto sembra compatibile col sistema di controllo
interno delle normative cui sono soggette la società. Le stesse attività che l'art.
6, comma 2 riporta, corrispondono ai diversi momenti che scandiscono un
ciclo di risk assessment, quindi di una delle principali attività di competenza
del personale addetto al controllo interno.
L'adozione di un modello organizzativo, definito, quindi, dalla pratica
aziendale come “risk management”, potrebbe, però, determinare il mutamento
del modo di operare di un'impresa (in relazione alla possibile limitazione della
libertà decisionale e di azione dei soggetti apicali) proprio a seguito
dell'introduzione dei meccanismi organizzativi e di controllo, i quali, peraltro,
comportano costi, diretti (ossia dipendenti dalle risorse utilizzate per
l'implementazione ed il mantenimento) ed indiretti (qualora, per i controlli
previsti dalle procedure, si determini un ritardo nel compimento delle
operazioni aziendali). Ricordando, tuttavia, come gli obblighi di vigilanza
441
LANCELLOTTI, I modelli (2001), op. cit; più recentemente (2009) CENTONZE, La coregolamentazione dell'attività d'impresa nel d.lgs. 231/2001. Il problema dell'importazione
dei compliance programs.L'ultimo contributo a riguardo è di S.MANACORDA, La dinamica
dei programmi di compliance aziendale: declino o trasfigurazione del diritto penale
dell'economia, in Le Società, n. 6, 2015, 473 ss. Si rinvia sul punto al cap. II, § 3.
442
Il paragone è ampiamente sviluppato nell’articolo di F. PARMEGGIANI, I modelli di
controllo prescritti dal D.Lgs. 231/01 in materia di responsabilità amministrativa delle
società, in www.reatisocietari.it, 2006.
216
posti a carico degli amministratori, ai sensi dell'art. 2392 c.c., tendano a
ricomprendere anche la valutazione di una effettiva efficacia del modello e di
un operato adeguato da parte dello stesso organo di controllo autonomo, in
base a quanto previsto dalle disposizioni del decreto, questi soggetti non
potranno condurre tale valutazione solo sulla base di criteri aziendalistici, ma
dovranno piuttosto considerare l'adozione come un obbligo volto ad evitare le
conseguenze penali e civili previste, rispettivamente, dal d.lgs. 231/2001 e
dall'art. 2392 c.c. La costruzione di un adeguato modello di prevenzione
richiederà, quindi, una preventiva auto-analisi della propria organizzazione
aziendale e delle sue risorse, le quali andranno impiegate per il
raggiungimento di determinati obiettivi della società stessa: la riuscita
realizzazione di quest'ultimi ed il collimare del tipo di organizzazione ideale e
formulata solo in astratto, con quella reale, sancisce l'adeguatezza ed il
successo della struttura posta in essere, in concreto, dalla persona giuridica.
Alla luce della finalità preventiva che i modelli previsti dagli artt. 6 e 7
svolgono, in sostanza, viene ad essi conferito «un ruolo sistematico
autenticamente fondativo nel nuovo sistema della responsabilità degli enti»,
ovvero si è in tal senso osservato come sia «la funzione che, in questo caso,
informa sulla struttura e le da volto, con un percorso metodologicamente
inverso rispetto ai tradizionali meccanismi di ricostruzione degli istituti
giuridici»443.
La procedura di adozione del modello, pur non delineata in modo
chiaro dal legislatore444, sarà positivamente integrata, qualora si osservino
determinate fasi, ormai generalmente condivise e tese alla prevenzione di tutte
C. PIERGALLINI, Paradigmatica dell’autocontrollo penale (dalla funzione alla
struttura del “modello organizzativo” ex d.lg n. 231/2001), in Cass. Pen. n. 1, 2013.
444
Non si ricava, dal dato normativo, se il corretto procedimento competa all'organo
amministrativo, all'assemblea dei soci, ovvero se sia necessario, piuttosto, integrare lo stesso
statuto con la previsione della disciplina in parola; sussistono, inoltre, incertezze circa il
valore da attribuire ai protocolli “individuali” definiti in base alla redazione dei modelli
standardizzati delle associazioni di categoria. In questo senso, S. BARTOLOMUCCI,
Responsabilità amministrativa dell’ente: l'azione dei modelli organizzativi, in Diritto e
pratica delle società, n. 17, 2002, 14 ss.
443
217
le variabili attinenti al rischio-reato. Solitamente, tendono a distinguersi due
momenti differenti: quello dell'impostazione preliminare del modello di
gestione (ossia i principi che reggono il corpo del modello) e quello della
valutazione specifica del rischio (e le relative modalità di attuazione per la
riduzione di quest'ultimo)445. I principi tradizionalmente sottesi alla
progettazione dei modelli ricalcano sostanzialmente quelli
affermati
nell'ambito del sistema dei controlli interni (con i quali andrà operata una
sinergia tra i medesimi e l'Organismo di Vigilanza previsto dal decreto) 446. Si
parla quindi di efficacia ed adeguatezza, quali requisiti di corrispondenza del
modello alla soluzione dei problemi connessi al rischio-reato (ed ai mezzi che
l'ente intende adottare a tal fine) e predittività (ossia di realizzazione di
meccanismi di prevenzione, nella prospettiva di un controllo ex ante).
Fondamentali saranno articolazione, rilevanza e responsabilizzazione formale,
ovvero una suddivisione dettagliata delle aree di responsabilità e di controllo
presenti all'interno dell'ente considerato, mediante sistemi di flussi informativi
(tipici di un'attività di informazione/formazione) e di ripartizione dei poteridoveri (attraverso il noto sistema delle procure e delle deleghe). Infine, tra le
caratteristiche salienti, figurano altresì relatività e dinamicità (come obiettivi
predeterminati dell'azienda e verifiche periodiche di validità del modello, sulla
base dei rilevamenti delle violazioni dello stesso, alle quali connettere
conseguenze dal punto di vista disciplinare, in ottica di deterrenza). Nella
PIERGALLINI, Paradigma dell’autocontrollo (2013), op. cit.: «la prassi applicativa fa
registrare una diffusa tendenza a suddividere il modello in una Parte Generale ed in una Parte
Speciale: la prima rivolta ad individuare la fisionomia istituzionale del modello (definizione
di istituti, funzioni, nozioni, principi, di ‘generale’ applicazione), la seconda indirizzata a
setacciare e regolare le specifiche attività esposte al rischio-reato. Di norma, il contenuto
delle cautele, dirette a ridurre il rischio-reato, viene ulteriormente formalizzato in singoli
protocolli operativi, richiamati nella Parte Speciale del modello, che si limita, perciò, a
riprodurre i contenuti essenziali delle cautele».
446
Per la ricostruzione dei principi in materia e della costruzione effettiva del modello,
approfonditamente: BASTIA, I criteri di progettazione (2008), op. cit., nonché
PIERGALLINI, Paradigma dell’autocontrollo (2013), op. cit.
445
218
redazione della Parte Generale447, l'impresa è consapevole del fatto che,
durante tutto il processo formativo, dovranno, da un punto di vista
metodologico, identificarsi, per prevenire i relativi rischi ipotizzabili, gli
obiettivi che si intendono esplicitamente raggiungere e tra i quali assume
assoluta rilevanza quello della preservazione della capacità operativa
economica dell’impresa all’interno del suo mercato di riferimento. Tale esame
si dimostra alquanto complesso, in quanto dovrà avvenire prendendo in
considerazione una molteplicità di fattori, quali l'analisi delle diverse attività
aziendali, l'individuazione delle posizioni organizzative assoggettate al rischio
reato, le eventuali modalità di commissione degli illeciti, tutti aspetti, questi,
che varieranno in ragione della persona giuridica in questione. È chiaro,
infatti, che «la complessità del modello» risulterà «direttamente proporzionale
alle esigenze, alla struttura, alla collocazione geografico-ambientale e alle
risorse della singola impresa»448; parimenti variabili, in relazione a detti
parametri, saranno altresì i reati configurabili in virtù delle attività svolte da
quella determinata azienda. A render noti doveri e responsabilità dell'impresa,
contribuisce altresì la progettazione di un codice etico di comportamento,
quale «imprescindibile tavolozza di valori»449 che indichi i principi direttivi
della specifica realtà aziendale, valori ai quali deve uniformarsi l'attività
dell'ente: essi andranno diffusi, in seguito, dai vertici impegnati direttamente,
in tutta la realtà organizzativa dell'impresa.
Impostato tale sistema di valori si tratterà di creare concretamente un
modello operativo che li renda attuabili, attraverso l'identificazione delle
447
Talora definita quale fase di «pianificazione delle attività da intraprendere e macro
mappatura dei rischi di reato», G.G. BELLAVIA, Fasi e modalità di elaborazione dei
modelli organizzativi, in Diritto e pratica delle società, n. 2, 2005, 34 ss.
448
A. BERNASCONI, Modelli organizzativi, regole di giudizio e profili probatori, in Il
processo penale de societate, a cura di A. Bernasconi, Milano, 2006, 55 ss.
449
Sul codice etico, PIERGALLINI, Paradigma dell’autocontrollo (2013) op. cit.: «addita,
in chiave prevalentemente ‘evocativa’ ed ‘esortativa’, i valori e le prescrizioni che permeano
la cultura di impresa, deputata ad informare i comportamenti individuali dei dipendenti e dei
partenrs abituali dell’ente. Sotto questo profilo, i protocolli, contenuti nel modello, devono
costituire la concreta attuazione dei principi contenuti nel Codice etico».
219
persone coinvolte e la rispettiva attribuzione di compiti e responsabilità; la
definizione delle procedure che devono essere seguite per le varie operazioni;
il sistema dei controlli450 interni preventivi (quali quelli a campione sulla
documentazione, i già citati flussi informativi451 e l'applicazione delle
procedure nelle aree a rischio, da parte dell'organo responsabile ad essi
preposto) ed organizzativi (come la comunicazione del modello all'intera
organizzazione ed i meccanismi disciplinari452, idonei a “sanzionare il
mancato rispetto delle misure indicate nel modello”, ossia in relazione ai
comportamenti devianti).
A proposito delle prescrizioni inerenti al sistema disciplinare453, si è
constatato come esse siano usualmente connotate da una certa genericità,
riscontrabile nelle relative formulazioni, tranne, forse, per quel che concerne
l'art. 6, comma 2, lett. d) in ordine al venir meno dei c.d. obblighi di reporting:
solitamente,
infatti,
vengono
individuate
le
condotte
antigiuridiche
determinanti il livello minimo di risposta sanzionatoria corrispondente alla
violazione (quale il mero rimprovero verbale), per poi arrivare a prevedere un
rispettivo tetto massimo (anche l'eventuale licenziamento), misurato in
relazione alla estensione temporale che caratterizza il comportamento illecito
stesso posto in essere. Alla luce degli interventi della Corte Costituzionale in
riferimento ai principi tipici della materia giuslavoristica, sembra richiedersi,
innanzitutto, che sussista una proporzionalità, nell'esercizio del potere
450
Gli organi interessati allo svolgimento di queste mansioni saranno, a seconda dei rispettivi
compiti, il Comitato per il Controllo Interno, l'Organismo di Vigilanza, l'Amministratore
Delegato, i responsabili delle funzioni di Internal Auditing e Security.
451
Occorrono, a tal fine, coordinati canali di comunicazione tra gli organismi societari stessi
di gestione e di controllo, di internal ed external auditing e l'Organismo di Vigilanza.
452
BARTOLOMUCCI, in BERNASCONI, ult. op. cit., afferma che: «la costruzione dei
sistemi disciplinari richiede particolare cautela, dovendosi conformare alle previsioni del
Ccnl applicabile, allo Statuto dei lavoratori, nonché raccogliere il placet delle organizzazioni
sindacali.», occorre quindi il rispetto delle norme giuslavoristiche relative ma,
contestualmente, l'attuazione delle prerogative dell'assemblea, quale, comunque, organo
deliberativo in materia.
453
Si sottolinea l'utilità di prefigurare, alla stregua di una pena pecuniaria, un congelamento
o una riduzione delle stock options conferite ad amministratori e manager, per colpire le
violazioni di tali soggetti apicali, attraverso il fattore della deterrenza.
220
disciplinare, tra infrazione e corrispettiva sanzione, nonché, in secondo luogo,
che sia rispettato il principio del contraddittorio, affinché venga garantita, al
soggetto destinatario del provvedimento a suo carico, un'adeguata possibilità
di difesa. Il problema se si tratti, per i soggetti apicali coinvolti, di sanzioni
che risolvano o conservino il rapporto di lavoro, origina dalla complessità di
applicazione di un sistema disciplinare inizialmente concepito per i rapporti di
lavoro subordinato. Pertanto, si ritiene generalmente che, per quanto attenga
ad inosservanze delle procedure interne dei modelli organizzativi o ad
omissioni nella segnalazione delle stesse, si possa ricorrere a sanzioni
ammonitive; qualora, invece, si riscontrino condotte che arrivino ad integrare
le fattispecie delittuose previste dallo stesso d.lgs. 231/2001, sarebbe possibile
il licenziamento per giustificato motivo454.
Riguardo alla costruzione della Parte Speciale del modello, per prima cosa
occorre valutare i rischi-reato specifici. Con “valutazione del rischio” deve
intendersi, l'analisi approfondita delle probabilità che il fatto o il
comportamento
che
si
vogliono
evitare
si
verifichino
all'interno
dell'organizzazione, compromettendo la redditività dell'impresa o la sua stessa
esistenza, qualora
le eventuali sanzioni di condanna appartengano alla
categoria delle interdittive. Il lavoro dell'ente verterà allora, previa specifica
mappatura delle aree aziendali a rischio, sulla misurazione del danno
potenziale che essa potrebbe subire, in relazione al grado di criticità del rischio
considerato, il calcolo del quale viene determinato da uno studio prognostico
avente, per elementi della relazione, l'entità del danno causato e la probabilità
di sua verificazione455. Esistono, infatti, rischi di business (legati saldamente
alla realtà aziendale), rischi strutturali (in conseguenza del tipo di assetto
organizzativo: più elevata sarà la complessità sociale, maggiori risulteranno i
Per ulteriori punti di contatto tra la “normativa 231 e la materia lavoristica, con
particolare riferimento ai reati informatici si rinvia al Cap. III, § 3.3.
455
BERNASCONI, Modelli organizzativi (2006), op. cit.: tale «sistema di autovalutazione
dei rischi» è detto control self assessment e risulta «coerente con consolidati indirizzi
internazionali in materia di controllo interno e di corporate governance».
454
221
controlli da eseguire), rischi culturali (delineanti il rapporto tra la persona
fisica e l'ambito nel quale l'ente opera) e rischi individuali (legati a fattori
specifici del soggetto). Solitamente gli stessi rischi vengono classificati a
seconda della loro potenzialità di incidere negativamente sull'assetto aziendale
e della conseguenti rispettive priorità di intervento; per questo se ne
distinguono di critici (una loro manifestazione potrebbe compromettere la
sopravvivenza stessa dell'impresa), di rilevanti (gravi e significativi danni
all'operatività aziendale, presumibilmente, però, non distruttivi) e di
trascurabili (ossia, da poter essere tralasciati in sede di allocazione delle
risorse per il controllo, in quanto “accettabili”).
Nell'ambito
del
d.lgs.
231/2001,
per
“rischio”,
andrà
intesa
l'individuazione dei reati potenzialmente realizzabili da parte dei soggetti che
operano all'interno della società, la commissione dei quali dipende sia da
caratteristiche soggettive della persona che agisce (in sostanza, le motivazioni
personali dell'individuo e la sua situazione economica e sociale), sia da alcuni
fattori oggettivi dell'impresa stessa (quali la mancanza di controlli interni,
l'eccesso di delega, l'assenza di linee gerarchiche e di feedback informativi)
che possono fungere tanto da agevolazione, quanto da ostacolo alla
configurazione concreta del reato. Mediante la valutazione del rischio, poiché
ogni attività di controllo o di monitoraggio ha un costo, è necessario che
questo venga comparato con i costi conseguenti alla commissione dell'illecito
in termini sanzionatori, al fine di decidere se porre in essere la verifica, ovvero
abbandonare le iniziative di prevenzione indirizzate a quel particolare rischio
di reato.
È bene inserire all'interno sistema dei controlli, con contestuale
definizione dei relativi compiti e responsabilità, l' Organo di Vigilanza, dotato
di autonomi poteri di iniziativa e di controllo ed investito del compito di
vigilare sul funzionamento e l'osservanza dei modelli, nonché di provvedere al
loro aggiornamento: il processo di gestione del rischio, infatti, non costituendo
un'azione statica,
ma necessariamente
222
modellabile ed adattabile ai
cambiamenti che coinvolgono la società, richiederà valutazioni periodiche di
efficacia del modello, in vista di eventuali azioni correttive di revisione456. Ci
si è fin da subito interrogati, nel silenzio normativo, sull'identificazione del
soggetto (o dei soggetti, cumulativamente od alternativamente) al quale
l'organo di controllo dovrebbe rispondere del suo operato; le tre principali
possibilità ipotizzabili per la verifica di tale attività possono essere individuate
nell'organo dirigente (ma, così, «l'autonomia dell'organo di controllo si
rivelerebbe una mera finzione»), nell'autorità giudiziaria (la valutazione,
peraltro, «verrebbe ad instaurarsi addirittura prima della commissione del
reato»), nell'assemblea generale dei soci (il rischio, tuttavia, sarebbe la
pubblicizzazione di «tutti i processi di gestione aziendale, leciti e illeciti» sulle
modalità di conduzione dell’azienda: «invece di proteggere l’impresa, i
modelli organizzativi finirebbero per danneggiarla»)457.
Merita, in ultima analisi, soffermarsi sulla possibile insorgenza di una
responsabilità a carico dell'Organismo di Vigilanza, sul fronte penalistico, in
relazione al principio dell'art. 40 cpv. c.p., per il quale “non impedire un
evento, che si ha l'obbligo giuridico di impedire, equivale a cagionarlo”. La
dottrina
tende
ad
escludere
una
conseguenza
simile,
sulla
base
dell'argomentazione per la quale l'esistenza di un obbligo di vigilanza non
comporterebbe
automaticamente
quello
di
impedire
l'evento,
non
configurandosi, peraltro, in tale situazione, una posizione di garanzia in capo
ai destinatari: «qualunque sia la sua collocazione nell'organigramma aziendale,
456
Art. 6, comma 1 lett. b), d.lgs. 231/2001. In tal senso, anche la sentenza n. 2038 del 28
ottobre 2004, Tribunale di Milano (in funzione del giudice del riesame), in riferimento alla
necessaria esistenza dei caratteri di efficacia, specificità e dinamicità del modello, affinché
esso possa essere idoneo all'assolvimento delle funzioni al quale è destinato.
457
C. DE MAGLIE, Principi generali e criteri di attribuzione della responsabilità, in Diritto
Penale e Processo, n. 11, 2001, 1348 ss.; recentemente, sul punto, diverse voci autorevoli,
come PIERGALLINI, Paradigmatica dell’autocontrollo (2013) op. cit. p. 389 ss., il quale si
sofferma diffusamente sulla struttura dell'Organismo di Vigilanza, nonché sui rapporti tra il
medesimo e gli altri organi societari, adibiti alla cd. funzione di Internal Auditing. Come
osservato peraltro da più parti, tale figura, in particolar modo, pone problemi di
sovrapposizione di ruoli con coloro che ricoprono la carica di sindaci (o figure affini, a
seconda del modello societario - monistico o dualistico - adottato).
223
l'Organismo di Vigilanza non si inserirebbe nella catena decisionale, in quanto
ad esso sono devoluti compiti di controllo non in ordine alla realizzazione dei
reati, ma al funzionamento ed all'osservanza del modello». Vero è, tuttavia,
che proprio i medesimi modelli sono finalizzati alla prevenzione dei reati e che
quindi non può escludersi a priori un'applicazione dell’art. 40 cpv. c.p.;
sicuramente «quanto più il protocollo organizzativo avrà una sua specifica
funzione preventiva di una determinata condotta e quanto più tale condotta si
avvicini alla condotta che integra la fattispecie delittuosa, tanto più potrà dirsi
che tale condotta è causalmente ricollegabile alla omessa vigilanza sul rispetto
del protocollo»458. Ogni requisito del modello organizzativo, comunque,
concorre ad un adeguato sistema di meccanismi decisionali e di controllo; la
giurisprudenza ha infatti più volte sottolineato come, altrimenti, la grave
assenza di trasparenza nella gestione amministrativa delle società e l'assenza di
regole di controllo sulla gestione delle risorse finanziarie degli enti rendessero
più facile la commissione di alcuni reati.459
Circa l'adozione del modello nei gruppi di società nell'ambito delle
quali la holding ricopre un ruolo di supremazia azionaria e governativa,
occorrerà volgere lo sguardo alla diversificazione dei rischi e delle
responsabilità in capo all'intero gruppo, potenzialmente foriero di fenomeni
devianti460, tenuto conto che la normativa non si è occupata di disciplinare il
fenomeno. Tuttavia, in virtù del principio di legalità che anima l'intero decreto,
come visto in precedenza, la “politica di prevenzione” graverà in capo a
ciascuna società appartenente al gruppo. Conseguentemente, ogni singolo ente
dovrà munirsi di un proprio modello organizzativo e di un relativo Organismo
di Vigilanza, onde evitare (mediante, al contrario, l'adozione di un modello per
458
A. IANNINI - G. M. ARMONE, Responsabilità amministrativa degli enti e modelli di
organizzazione aziendale, Roma, 2005.
459
L'aspetto viene sottolineato dall'ordinanza sovracitata 20 settembre 2004, emessa dal
G.i.p. del Tribunale di Milano.
460
PIERGALLINI, Paradigmatica dell’autocontrollo (2013), op. cit.: tale realtà societaria
potrebbe fomentare «da un lato, una preoccupante dispersione delle responsabilità
individuali (...) e, dall'altro una tendenza a sfruttare lo schermo del gruppo per piegare
l'azione delle controllate a finalità illecite, in nome del superiore interesse del gruppo».
224
l'intero gruppo) una sorta di “rimbalzo” di responsabilità nei confronti dei
vertici, in nome di un formale “interesse di gruppo”.
§ 3 LA MUSA STATUNITENSE: EFFECTIVE COMPLIANCE PROGRAMS
§ 3.1 I compliance programs funzionano in Italia? § 3.2 (Segue)...e negli Stati
Uniti? § 3.3 Conclusioni: limitarsi alle “bad apples” o abbattere i “bad trees”?
“Un'oncia di storia vale più di una libbra di logica”
F. Stella461
§ 3.1 I COMPLIANCE PROGRAMS FUNZIONANO IN ITALIA?
Il legislatore italiano mutuando la filosofia del compliance programs
nordamericani462, ha scelto di affidarsi al ragionamento per cui per impedire il
verificarsi di illeciti nel contesto societario sia indispensabile indurre la società
all'autocontrollo attraverso un diritto penale “interattivo”, ovvero che faccia
ampio uso di incentivi: si tratta del carrot and stick approach, in cui la
“carota”,
i
meccanismi
premiali,
si
raggiungono
solo
in
cambio
dell'implementazione modelli e protocolli organizzativi con funzione
461
F. STELLA qui parafrasa un'affermazione del già citato e celebre articolo di J.C.
COFFEE, No soul to damn, no body to kick: an unscandalized inquiry into the problem of
corporate punishment, in Michingan Law Review, n. 3, vol. 79, 1981, p. 405. Essendo noto
che un'oncia equivale ad un sedicesimo di libbra, la frase è volutamente provocatoria e
rappresenta bene il pragmatismo americano. È qui calzante in quanto chi scrive si chiede se,
nonostante tutte le teorizzazioni sui modelli, le opinioni favorevoli dei professionisti del
settore e di molta parte della dottrina - tra cui Stella (ma non dimentichiamo che scriveva
negli anni Novanta o al massimo poco dopo il d.lgs. 231/2001, data la sua prematura
scomparsa) - questi stiano effettivamente facendo la loro parte. Funzionano davvero? Che la
«logica» teorica del d.lgs. 231/2001, lasci spazio ad una valutazione pratica di questi primi
quattordici anni di «storia» di vita del decreto. F. STELLA, Criminalità di impresa: la lotta
di Sumo e di Judo, in riv. trim. dir. pen. ec., n. 2-3, 1998, p. 1258 e ID., Criminalità di
impresa: nuovi modelli di intervento, in riv. it. dir. proc. pen., n. 4, 1999, p. 462.
462
È pacifico che «l'ordinamento statunitense (...) ha esplicitamente rappresentato un punto
di riferimento per il legislatore italiano», così F. CENTONZE, La co-regolamentazione della
criminalità d'impresa nel d.lgs. 231/2001. Il problema dell'importazione dei ‘compliance
programs’nell'ordinamento italiano, in riv. Analisi giuridica dell'economia, fascicolo
monografico, n. 2, 2009, Società e modello 231: ma che colpa abbiamo noi?, pp. 219 ss.
Tale riferimento al «sistema dei compliance programs da tempo funzionante negli Stati
Uniti» è anche esplicito nella Relazione ministeriale al d.lgs. 231/2001, § 3.3.
225
preventiva dei reati aziendali, evitando così il “bastone”, ovvero pesanti
sanzioni. Questo approccio cd. “carrot-stick” implica il coinvolgimento della
societas nella prevenzione dei reati societari ed un arretramento dello Stato463.
Il d.lgs. 231/2001 rappresenta il primo tentativo, in Italia, di una coregolamentazione statale-privata dei rischi che derivano dalla gestione illecita
di attività economiche. L'idea di fondo da cui trae le mosse questo connubio
Stato-azienda nella gestione del rischio di impresa sta nella presa d'atto che lo
Stato da solo è incapace di assicurare la prevenzione del corporate crime con
il classico modello repressivo (carcere per i managers, pene pecuniarie
“mortali” per gli enti)464, si predilige quindi una partnership pubblico-privato
per la prevenzione più efficace465. Secondo Paliero, trattasi di un «modello
463
Si tratta dell'«idea post-keynesiana di uno Stato che si ritrae dalla diretta
regolamentazione della vita economico-sociale, incentivando strategie di autodisciplina e
compliance da parte dei soggetti privati» così G. FORTI, La «chiara luce della verità» e
«l'ignoranza del pericolo». Riflessioni penalistiche sul principio di precauzione, in Scritti
per Federico Stella, Jovene, 2007, p. 639. Si è parlato anche di una governance ibrida, frutto
anche della spinta neoliberista che ha incoraggiato forme di controllo pubblico (dello Stato e
quindi del legislatore) più indirette e meno invasive e che ha conferito un ruolo pubblico
esterno ai controlli privati interni, infatti in questa ottica l'arretramento dello Stato si
giustifica con la controllabilità delle procedure organizzative da parte delle stesse
organizzazioni di impresa e dunque dall'efficacia preventiva dell'auto-controllo.
464
A questo proposito F. STELLA, Criminalità di impresa: la lotta di sumo e di judo, in riv.
trim. dir. pen. ec., n. 2-3, 1998, p. 471 afferma:«con la predisposizione di un rigoroso
sistema di pena (il carcere per i singoli managers che abbiano commesso illeciti, la pena
pecuniaria per la società) lo Stato si ispira alla strategia brutale del ‘randello’. Uno studioso
americano (J.C. COFFEE, No soul to damn: no body to kick, op. cit., n.d.r.) paragona questa
strategia a quella dei lottatori di sumo: due giganti si girano attorno prima della carica, la
forza si scontra con la forza di un conflitto mortale e persone innocenti possono venire
travolte nella mischia. L'alternativa a questa strategia (...) è la strategia del lottatore di judo
che non fa affidamento sulla forza bruta, ma sfrutta la forza del suo avversario contro di lui.
È a quest'ultima strategia che bisognerebbe ispirarsi nella lotta contro la criminalità di
impresa: per dissuadere il manager dal compimento di atti illeciti bisogna analizzare e capire
la forza della società per usarla contro i managers che agiscono illegalmente, e prima che
agiscano illegalmente».
465
CENTONZE, La co-regolamentazione dell'attività d'impresa nel d.lgs. 231/2001. Il
problema dell'importazione dei compliance programs, op.cit., p. 222, ventila la possibilità
che invece questo sistema di “regolata-autoregolamentazione” sia eccessivamente autoreferenziale e pone dei dubbi sulla crescente privatizzazione della prevenzione della
criminalità e del controllo di essa.
226
cautelare (‘auto-cautelare’)» o «‘auto-normato’ che costituisce il fulcro di
tipicità della corporate liability»466.
In Italia, a differenza del sistema statunitense, non assume alcun rilievo
ai fini del giudizio sulla colpevolezza la cooperazione dell'ente post delictum.
L'ordinamento italiano (che esclude in radice la responsabilità dell'ente in
presenza di un preesistente modello organizzativo effettivo ed idoneo) si limita
post factum a considerare meritevole di un'attenuazione del trattamento
sanzionatorio (in varie forme e con riferimento sia alla sanzione pecuniaria
che a quella interdittiva) la circostanza che l'ente abbia assunto iniziative
riparatorie o risarcitorie (anzi basta che l'ente si sia «efficacemente adoperato
in tal senso») o abbia rimediato alle proprie carenze organizzative: in tali
ipotesi può persino venir meno l'applicazione delle sanzioni interdittive,
mentre quella pecuniaria è destinata a essere ridotta addirittura fino ai due terzi
(cfr. art. 12 e 17 d.lgs. 231/2001). Sembra opportuno mettere perlomeno in
dubbio che «la miscela di bastoni e carote»467 abbia realmente la forza di
indurre l'ente ad impegnarsi seriamente nella salvaguardia degli interessi
coinvolti dall'esercizio dell'impresa e che il modello organizzativo adottato
abbia realmente efficacia preventiva.
Un aspetto da considerare per valutare l'efficacia preventiva del
modello italiano è il contesto economico imprenditoriale. Negli Stati uniti le
public company sono molto diffuse. È noto che l'utilizzo dei compliance
programs è stato pensato proprio per questo tipo di realtà, ovvero aziende di
grandi dimensioni a proprietà frazionata in cui la conseguente asimmetria di
interessi tra azionisti e manager impone ai primi di, per limitare il rischio
dell'opportunismo dei secondi, investire sul controllo del management, anche
attraverso dei modelli di organizzazione. In America la separazione tra la
C.E. PALIERO, Dieci anni di “corporate liability” nel sistema italiano: il paradigma
imputativo nell'evoluzione della legislazione e della prassi, in Le Società, fascicolo speciale,
12S, 201, p. 11 e 13
467
L'espressione è di CENTONZE, La co-regolamentazione della criminalità di impresa, op.
cit., p. 234.
466
227
proprietà, disgregata dal frazionamento azionario, e i gestori crea un
diaframma tra la società e gli individui che hanno commesso il reato: questi
ultimi di solito non agiscono per favorire la società e gli azionisti, così la
società, anche se ha finito per beneficiare dell'illecito dei suoi rappresentanti o
dipendenti, è in grado comunque di “dissociarsi” dagli autori delle condotte
criminose, dimostrando di aver fatto poteva per impedirle o portare alla luce
l'illecito. In Italia, al contrario, il 99,5 % delle imprese italiane ha meno di 50
dipendenti, le PMI (piccole e medie imprese), non le public companies,
costituiscono l'ossatura portante del sistema economico italiano. Qui la
situazione l'opposto di quella americana descritta: si ha una tendenziale
sovrapposizione tra proprietà e controllo, il modello di governance è
generalmente imperniato sulla figura dell'imprenditore fondatore e la
provenienza del capitale di rischio da parte della medesima famiglia, che è di
solito direttamente coinvolta nella gestione in posizioni di vertice. La proprietà
a carattere familiare e il controllo sono accentrati nelle mani di un unico socio
(o di una ristretta coalizione di soci unita da patti di sindacato) che spesso
amministra
la
società.
Anche
le
poche
grandi
imprese
private,
tradizionalmente caratterizzate da una componente familiare, sono controllate
da un azionista o un gruppo di soci di riferimento che decide se esercitare in
prima persona la gestione dell'impresa o affidarne le redini ad un manager il
cui operato è costantemente monitorato dalla proprietà.
Nelle strutture societarie ad alta concentrazione proprietaria come
quelle italiane, la gestione è quindi di matrice prevalentemente padronale e, a
differenza delle public companies americane, di regola l'imprenditore è la
società e «la prassi (...) dice che è difficile che un eventuale reato possa essere
commesso nella società senza la sua partecipazione: anzi l'illecito è
generalmente commesso con il contributo decisivo del vertice della società che
228
è esponente della proprietà o comunque della maggioranza di controllo)
nell'interesse della proprietà stessa»468.
Ecco quindi, a parere di chi scrive, uno dei motivi principali per cui in
Italia l'efficacia preventiva dei modelli organizzativi non si sia ancora
manifestata in modo apprezzabile.
Parte della dottrina italiana si mostra apertamente scettica, fino ad arrivare a
bollare i modelli organizzativi come inutili, non esistendo alcuna conferma
empirica della loro efficacia. 469 I critici cominciano a sottolineare, negli ultimi
anni, che la reticenza delle PMI ad implementare il modello (visto come
generatore di “montagne di carta” fine a sé stesso) non debba essere
necessariamente condannata: i modelli organizzativi hanno un costo notevole
e l'unica ragione che eventualmente potrebbe spingere le imprese italiane ad
adottarli è quella di contrarre una sorta di “assicurazione” contro il rischio di
condanne penali della società470: se ci sarà un'indagine si esibirà il modello e si
tenterà di arginare gli effetti negativi dell'azione penale. Sembra quindi essere
solo la paura di un possibile inconveniente giudiziario a spingere
l'imprenditore a elaborare il modello e non certo la sperata convinzione della
468
CENTONZE, La co-regolamentazione della criminalità di impresa, op. cit., p. 235.
L'Autore porta d'esempio il crack di Parmalat, infatti il Tribunale di Milano (18 dicembre
2008, 5 maggio 2009, n. 14344, inedita, p. 91 proposito ha evidenziato che il dominus del
gruppo «nella sua veste di socio di maggioranza e Presidente della Parfin, non solo ha
sempre avuto il diretto controllo delle vicende societarie che riguardavano il patrimonio di
tutte le società del Gruppo, ma ha anche deciso in pena autonomia della loro gestione e
struttura finanziaria secondo un modello di tipo padronale, al di là della formale istituzione
di organi previsti dalla legge». E questo indipendentemente dal rispetto delle formali
procedure di corporate governance.
469
CENTONZE scrive chiaramente: «non esiste alcuna conferma empirica che i modelli di
organizzazione costituiscano nella realtà economica della piccola media impresa un utile
strumento di governo dell'azienda e un efficace rimedio contro eventuali esiti criminali
dell'attività produttiva: anzi, generalmente l'imprenditore a capo di una piccola o media
società ha già un controllo diffuso sull'organizzazione, sui suoi dipendenti e sulle
potenzialità criminose della stessa». L'Autore puntualizza che se è un imprenditore è onesto
«cerca di governare con rettitudine l'azienda a prescindere dall'esistenza di formali protocolli
di comportamento. Viceversa, se è propenso a infrangere la legge o a indurre a condotte
illecite i propri dipendenti, il modello risulta con ogni probabilità inutile». CENTONZE, La
co-regolamentazione della criminalità di impresa, op. cit., p. 236.
470
W.S. LAUFER, Corporate bodies and guilty minds, The University of Chicago Press,
2006, p. 122 parla di «compliance as insurance and self-insurance».
229
sua utilità. Chi scrive in effetti rileva che i professionisti della compliance
incontrati durante l'elaborazione di questa tesi, nell'esporre le loro
argomentazioni a sostegno dell'adozione dei modelli organizzativi, hanno
sempre e solo valorizzato l'argomento dei possibili rischi legali senza (quasi)
mai menzionare eventuali effetti positivi, in termini di legalità, per
l'organizzazione dell'azienda.
I benefici dell'implementazione del modello in realtà esistono, ma
difficilmente risultano monetariamente quantificabili (come, al contrario, i
costi per adottarlo) e si concretizzano di solito a distanza di tempo (almeno
qualche anno). Oltre all'esimente prevista dall'art. 6 del d.lgs. 231/2001
(tuttavia raramente applicata a causa della difficoltà nel superare il vaglio di
idoneità giudiziale e dell'assenza ad oggi di un contenuto normato dei modelli)
tali benefici possono consistere in miglioramenti dal punto di vista
organizzativo: il modello può essere occasione di integrazione fra diverse
procedure, per esempio in materia di salute e sicurezza sui luoghi di lavoro, in
materia ambientale o in ambito privacy. Per cui, prevedendo una diminuzione
di eventi colposi legati a questi ambiti (es. infortunio che determina invalidità
del lavoratore) grazie al modello organizzativo, si potrebbe stimare il
conseguente risparmio di costi471.
471
Ancora, sempre dal punto di vista della difficoltà di quantificazione, c'è il risparmio
dovuto alle migliori condizioni di accesso al credito bancario nel caso di adozione del rating
di legalità (il rating di legalità è un tipo di rating etico destinato alle imprese italiane, nato
nel 2012 allo scopo di promuovere in Italia principi etici nei comportamenti aziendali in
attuazione alla legge di conversione del decreto legge 24 marzo 2012, n. 29). Occorre
precisare però che l'atteggiamento di convinzione del management nei confronti del “sistema
231” e dei benefici legati alla realizzazione dello stesso, risulta fondamentale. Il modello
organizzativo finisce per risultare solamente un costo e i potenziali benefici rimangono
preclusi se i vertici societari non mostrano interesse e fiducia nei confronti della compliance
231 adottata. Ciò può essere espresso attraverso il concetto di “tone at the top” (o “tone from
the top”), che potrebbe tradursi in “l’importanza del comportamento dei vertici”. La dottrina
spiega questa espressione così: «there is no difference between what “they” (top managers)
are doing themselves and what are expecting others to do», così, F. LEDDA, Efficacia dei
modelli organizzativi ex d.lgs. 231/2001: tone from the top, in www.rivista231.it. La
convinzione personale dei vertici societari dell'importanza del concetto in esame, risulta
fondamentale per l'efficace attuazione del modello e, dunque, per conseguire i benefici a ciò
legati. Si tratterebbe di una sorta di “effetto domino virtuoso” che può essere trasmesso
grazie al comportamento etico e secondo le regole, da parte dei vertici aziendali, agli altri
230
Detto ciò, il modello comunque rischia quindi di rimanere puramente cartaceo,
costruito in chiave difensiva e quindi inefficace nella prevenzione degli
illeciti. Anche le poche PMI che lo implementano finiscono solo per
“esibirlo”, senza realmente credere e di conseguenza fare ciò che il modello
prescrive.
Dopo aver assodato il sostanziale fallimento nel prevenire i reati aziendali dei
modelli organizzativi, ci si chiede se almeno questi abbiano un qualche effetto
premiale per le imprese: l'adozione del modello premia realmente al momento
del giudizio? La risposta sembra essere negativa. Nell'impresa di stampo
padronale i modelli parrebbero fallire in chiave premiale principalmente per
due ragioni: 1) nella stragrande maggioranza dei casi essi sono meramente
formali, dunque verranno (e infatti vengono) inevitabilmente giudicati non
effettivi dal giudice 2) il reato è il più delle volte posto in essere
dall'imprenditore, dominus della società e quindi si applica il rigido criterio di
imputazione previsto per i soggetti apicali - art. 6 d.lgs. 231/2001 - che
difficilmente offre vie di fuga alla società (si parla infatti in tono critico di
probatio diabolica pretesa dall'ente in queste ipotesi: si tratta comunque di un
processo penale, dovrebbe essere presunta l'innocenza e non un inversione
dell'onere della prova a carico dell'imputato).
A riprova di quanto detto, si può citare una delle poche sentenze che chiudono
un procedimento di merito contro un ente (la casistica giurisprudenziale è
sostanzialmente tutta in materia cautelare): «nessun dubbio che Tizio unico
membri dell'organizzazione. Si parla non solo di “tone at the top” ma anche di “tone from the
top”: non basta che tale atteggiamento virtuoso venga seguito solo dal top management,
occorre invece che sia trasmesso anche ai subalterni. Il definitiva, il comportamento
rispettoso delle regole e dei principi tenuto dagli organi di vertice risulta fondamentale per
stimolare un comportamento virtuoso anche da parte di tutti gli altri livelli
dell'organizzazione aziendale. Di qui, l'importanza della comunicazione dei valori (c.d.
“talking the talk”) e del fatto che questi poi permeino effettivamente la vita quotidiana
all'interno dell'ente. Il comportamento dei vertici, in particolare, dovrebbe essere coerente
con i principi aziendali affermati (cd. “walking the talk”).
231
della Alfa, rientri tra i soggetti che il d.lgs. n. 231 del 2001, articolo 5,
definisce in posizione apicale. Anzi, so può affermare che egli ne è il dominus,
promotore dell'intera vicenda criminosa (...). Neppure eccepita, l'insistenza
della c.d. colpa per effetto della presenza di modelli organizzativi (...)
considerate la composizione sociale, prettamente a base familiare, l'assoluta
predominanza e libero arbitrio del Tizio nella gestione, è da escludere un
ragionevole interesse a contrastare iniziative illecite eventualmente realizzabili
dall'amministratore»472. La conclusione è che se un amministratore ha il
governo assoluto della società, di cui è il proprietario o il socio di controllo473,
la presenza di un eventuale effettivo modello di organizzazione non è così
rilevante: si dovrebbe teorizzare un improbabile sdoppiamento di personalità
dell'amministratore in questione: di giorno sostenitore incorruttibile dei
compliance programs, di notte criminale capace di aggirare le regole. Si attiva
così un meccanismo di imputazione della sanzione - che sembrerebbe
automatico - anche per la società, non essendo possibile scindere i destini
processuali dell'ente e dell'amministratore che sia anche proprietario della
società (come accade per la stragrande maggioranza delle PMI italiane).
Infine, altro aspetto che rende scarsa la resa dei modelli organizzativi è
il fatto che il giudice, molto spesso, manca di criteri di riferimento oggettivi:
quando può dirsi che l'ente, come prescrive il decreto, ha «efficacemente
attuato» dei modelli di organizzazione? Quali requisiti devono presentare tali
modelli per essere giudicati «idonei a prevenire reati della specie di quello
verificatosi»? Qual è il grado di dettaglio con il quale le procedure, per trovare
positivo riscontro nel processo penale, devono regolamentare la via aziendale
e qual è l'intensità del controllo a tal fine richiesta? Come riconoscere, nella
472
Trib. Cosenza, 3 dicembre 2008, n. 1341
Ovviamente esistono anche in Italia eccezioni dove questo non succede, è il caso del
settore bancario e finanziario: le società in questo settore sono di ampie dimensioni, qui
l'azionista pubblico svolge ancora un importante ruolo di riferimento (trovandosi tra l'altro
nella singolare posizione di co-regolatore e destinatario del precetto), ma anche qui la
compliance sembra più cosmetica e di window dressing piuttosto che reale, adottata per
ragioni di difesa in un eventuale procedimento penale;
473
232
prospettiva penalistica, il giusto livello di compromesso tra l'esigenza di
monitorare le condotte dei dipendenti e l'ovvia necessità di non ingessare la
realtà dell'organizzazione e di contenere i costi della compliance?
La verità è che si cade di frequente nel circolo vizioso più volte
rimarcato in dottrina per cui il magistrato, spesso digiuno in materia di
organizzazione aziendale, finisce per non riconoscere mai l'adeguatezza del
modello nel caso si sia verificato il fatto di reato, essendo influenzato dalla
distorsione cognitiva del «senno di poi»; il tipico ragionamento sembra essere:
«se il reato è stato commesso, allora il modello non era idoneo»474. Trattasi di
un sillogismo fallace, eccessivamente semplicistico e pretenzioso nei confronti
dell'ente.
§ 3.2 (SEGUE)....E NEGLI STATI UNITI?
Dalle analisi delle statistiche della United States Sentencing
Commission risulta che solo in un caso negli anni 2006-2008 i giudici hanno
riconosciuto che l'organizzazione aveva un effective compliance program475: i
474
In questo senso, ex multis, si veda G. FORTI, Il crimine dei colletti bianchi come
dislocazione dei confini normativi. «Doppio standard» e «doppio vincolo» nella decisione di
delinquere o di «blow the whistle», in AA.VV., Impresa e giustizia penale: tra passato e
futuro, Giuffrè, 2009, pp. 222 ss.
475
Così, CENTONZE, La co-regolamentazione della criminalità di impresa, op. cit., p. 240.
Cfr. anche i dataset creati da G. Markoff a partire dalle ricerche empiriche del Prof. B.L.
GARRET (University of Virginia Law School): B.L. GARRETT, Globalized Corporate
Prosecutions, 97 VA. L. REV. 1775, 1795 (2011). Dal 2000 ad oggi (2014), il DOJ ha
concluso ben 245 accordi, tra DPA e NPA, ricavando in totale 36 bilioni di dollari tra
sanzioni pecuniarie, risarcimenti e altre somme versate a vario titolo in forza di tali
agreements. Solo nel 2012 sono state aperte 36 negoziazioni che hanno consentito di
incamerare ben 9 bilioni di dollari; il DOJ ha concluso 19 DPA e 16 NPA, mentre la SEC ha
negoziato tre NPA e un DPA. Le fonti però non consentono in alcun modo di valutare
adeguatamente l'effettività dei DPA. Ad oggi non si rinvengono studi a riguardo, fatta
eccezione per lo studio di G. MARKOFF, Arthur Andersen and the myth of the corporate
death penalty: corporate criminal convictions in the twenty-first century, in 5 U. Pa. J. Bus.
L. 707 (2013). Quest'ultimo rileva appunto tale lacuna. Cfr. anche GAO, report per il
Congresso, Corporate Crime. DOJ has taken steps to better track its use of deferred and
non-prosecution agreements, but should evaluate effectiveness, 22 dicembre 2009, p. 22.
L'unico documento ufficiale sul tema dei DPA è costituito dalle statistiche pubblicate dalla
Sentencing Commission relative alle condanne inflitte dalle imprese in USA. Esse forniscono
una visione solo parziale della situazione; inoltre la commissione si basa su un sistema di di
self-report da parte dell'autorità giudiziaria che non considera per esempio i casi nei quali il
233
dati si riferiscono a quelle poche società che superano la valutazione
preliminare sulla capacità di pagare la sanzione pecuniaria e decidono di
affrontare un giudizio (invece di chiudere un agreement, ovvero DPA o un
NPA) e vengono condannate con la conseguente applicazione delle sentencing
guidelines (meno di duecento per ogni anno considerato). Questo dato è
significativo: indica, anche negli Stati Uniti, la scarsa propensione a
riconoscere ex post l'adeguatezza dei modelli organizzativi e/o la diffusa
ineffettività degli stessi.
Probabilmente proprio per queste ragioni, nei procedimenti statunitensi
contro gli enti i giochi si fanno ormai fuori dalle formalità del processo, in
quella zona grigia degli accordi con le procure che sembra comunque
accontentare quasi tutti: a) i prosecutors che chiudono rapidamente e con
grande visibilità e attenzione mediatica i casi più complessi 2) le vittime che
ottengono risarcimenti notevoli 3) le società che comunque sopravvivono
(abbiamo già visto al cap. I come il cd. “Effetto Andersen” sembra ormai
essere solo un mito) mostrando il loro “volto buono” e accettando il fardello
delle prescrizioni della procura ed eventualmente della probation476. Si è detto
prosecutor decide di non perseguire l'ente collettivo oppure di esperire azioni nei confronti di
quest'ultimo n sedi diverse da quella penale.
Cfr. U.S. Sentencing Commission's, Soucebook of Federal Sentencing Statistic,
1999-2012, in www.ussc.gov; è interessante notare come negli ultimi vent'anni, la maggior
parte delle imprese condannate ai sensi del Chapter 8 delle FSGO non aveva precedenti
penali e non possedeva alcun modello organizzativo, Infine, negli ultimi dieci anni
all'incremento del ricorso agli accordi è andato di pari passo con una riduzione significativa
delle imprese condannate e dei procedimenti penali a carico degli individui. Nello stesso
arco temporale, si registra un generale aumento del tasso di criminalità, tranne che per alcuni
reati in materia economica (www.uscouts.gov).
Finora un solo DPA ha sortito effetto negativo dando luogo alla riapertura del
procedimento penale. Si tratta del DPA concluso nel novembre 2008 da Aibel Group Ltd. in
relazione ad una contestazione avente ad oggetto fatti di corruzione di pubblici funzionari
stranieri (si veda www.justice.gov). Dopo la conclusione dell'accordo, vennero accertate
ulteriori condotte criminose perpetrate all'interno della società, il che costituiva una
violazione dell'obbligo assunto dall'ente di prevenire la commissione di nuovi reati. La
società venne quindi condannata per un periodo di probation durante il quale fu costretta ad
introdurre misure anti-corruzione.
476
Si parla, in riferimento ai DPA e NPA come una “win-win solution”: «the use of deferred
and non-prosecution agreements is often viewed as a win-win for both government and the
corporation. The agreements can be attractive for corporations, as the reputational cost of
234
“quasi tutti” perché c'è qualcuno che sembra pagare più gravi e incisive
conseguenze rispetto all'ente: le persone fisiche, imputate nei processi penali
anche a causa del reverse whistleblowing477 operato dalle corporation che
accettano di cooperare con la pubblica accusa in cambio della “salvezza”.
Sempre più spesso nel sistema americano si sta tornando ad infliggere pene
esemplari (in una discutibile logica retributiva)478 alle bad apples, piuttosto
che ai bad trees, per la sopravvivenze dell'attuale sistema capitalistico479.
I DPA innovano il sistema in quanto si pongono come alternativa
radicale al procedimento penale: il raggiungimento di un accordo tra il
soggetto indagato e l'organo inquirente non incide sul quantum di pena, bensì
differisce l'esercizio dell'azione penale. Alla completa e tempestiva attuazione
del
patto
consegue
l'archiviazione
del
procedimento480.
Ad
oggi,
being indicted or convicted might well destroy the company in the eyes of the consumers.
The government also prefers such agreements as a way to effectively prevent future
wrongdoing while reducing the associated collateral costs, all at a minimal cost to the
government», così B. EDWARDS - M.C. BRASWELL, Corporate Misconduct and Ethics,
in AA.VV., Justice, Crime and Ethics, Anderson publishing, 2015, p. 389.
477
Si veda cap. I, §2.2.3.
478
Per una critica sistematica alle teorie retributive della pena, il superamento del modello
carcerario, nonché per una proposta di giustizia riparativa effettiva si veda diffusamente
l'opera di L. EUSEBI (tra gli ultimi scritti: L. EUSEBI, Una giustizia diversa. Il modello
riparativo la questione penale, Vita e Pensiero, 2015; Cfr. anche E. WIESNET, Pena e
retribuzione: la riconciliazione tradita, Giuffrè, 1987, (collana diretta da F. STELLA;
traduzione a cura di L. EUSEBI).
479
CENTONZE, La co-regolamentazione della criminalità di impresa, op. cit., p. 240
afferma in questo senso: «solo le persone fisiche, imputate nei processi penali anche grazie
alla cooperazione della società, possono talvolta lamentarsi di essere state sacrificate, con
l'estrema severità di cui la giustizia penale statunitense è capace, per la sopravvivenza
dell'attuale sistema capitalistico».
480
Questo però non significa che, una volta ottenuta una deferred prosecution, l'indagato non
soggiaccia a misure aventi natura sostanzialmente punitiva, anche se non comminate da una
sentenza di condanna. Più in dettaglio per DPA si intende un accordo tra pubblica accusa e
un ente indagato, da sottoporre al vaglio del giudice, in virtù del quale l'ente, al fine di
evitare il proseguimento penale a suo carico, si impegna, per un certo periodo di
“osservazione”, ad adempiere una serie di obblighi, tra i quali: riconoscere l'illecito
commesso, anche se non necessariamente nella forma di una vera e propria ammissione di
responsabilità; cooperare attivamente con le autorità inquirenti per individuare e consegnare
alla giustizia le persone fisiche responsabili; adottare o modificare il proprio compliance
program allo scopo di prevenire ulteriori attività criminose; riparare i danni cagionati dal
reato nonché versare una somma di denaro a titolo di equa riparazione dell'offesa arrecata
all'interesse pubblico tutelato dalla norma violata. All'adempimento degli obblighi pattuiti da
parte dell'impresa, da accertare dinnanzi al giudice, consegue la regola dell'esercizio
235
nell'ordinamento statunitense non vi è alcuna previsione legale che disciplini i
DPA, che risultano essere considerati unicamente nelle Guidelines diffuse dal
Dipartimento di Giustizia (DOJ), le quali, come abbiamo visto in precedenza
prendono il nome del Deputy Attorney General che le emana e sono detti
memoranda. Questo istituto di mediazione penale dei DPA si è quindi
sviluppato nella prassi481. Infatti, il sistema americano di corporate criminal
liability, delineato dalla nota pronuncia della Corte Suprema nel caso New
York Central & Hudson River Railroad del 1909482 è rimasto pressoché
inalterato per oltre un secolo483. Nonostante questo, in un ordinamento
processuale nel quale la pubblica accusa gode di un'ampia discrezionalità484, le
dell'azione penale. In tal caso, residuano poche possibilità per l'imputato di evitare la
condanna, in quanto la pubblica accusa avrà a disposizione non solo il materiale fornito
dall'ente indagato, ma anche la dichiarazione con cui quest'ultimo ha ammesso la
commissione dell'illecito al suo interno.
I DPA si differenziano dai NPA (non prosecution agreements), questi ultimi infatti
non prevedono alcuna delibazione giudiziale e, di conseguenza, assumono le forme di un
accordo concluso privatamente tra organi inquirenti e ente indagato. Ciò che
contraddistingue i DPA, invece, è l'intervento del giudice quale soggetto terzo e imparziale
rispetto alle trattative; al giudice spetta una funzione di “wait-and-see”: pur mantenendo la
sua funzione di terzietà e imparzialità, è chiamato a mediare tra i vari interessi in gioco, non
solo delle parti, ma anche di soggetti estranei alle negoziazioni e non rappresentati nel
procedimento come gli azionisti o gli investitori della società coinvolta.
481
Nel 2008, ci sono state delle proposte di legge volte ad introdurre una disciplina positiva
del DPA, ma per ora senza seguito. Per approfondire si veda: www.judiciary.house.gov e
www.govtrack.us.
482
Di cui si è discusso al § 2.2, Cap. I di questo lavoro.
483
In questo senso si veda L. ORLAND, The Transformation of Corporate Criminal Law, in
The Brooklyn Journal of Corporate Financial & Commercial Law, vol. I, 2006, p. 45;
WEISSMANN - NEWMAN, Rethinking Criminal Corporate liability, op. cit., p. 417.
484
E.B. DISKANT, Comparative corporate criminal liability: exploring the uniquely
american doctrine through comparative criminal procedure, in The Yale Law Journal, n. 1,
2008, pp. 159-165: precisa i tre “rami” della discrezionalità dei prosecutors americani,
precisando come quest'ultima sia una caratteristica peculiare dell'ordinamento statunitense:
a) la decisione circa quando e se procedere con l'azione penale b) per cosa incriminare e
quindi la formulazione del capo d'accusa c) quando e se offrire all'ente imputato un
agreement. Nonostante il grado di dettaglio dei prosecutors' memoranda, volti a rendere il
più possibile uniforme l’esercizio della prosecutorial discretion, il potere di stabilire quando
l'ente collettivo indagato possa beneficiare dell'alternativa al procedimento penale resta alla
fine nelle mani dell'organo inquirente.
Di forte impatto è la frase dell'Autore che fa capire perfettamente l'enorme differenza
tra il sistema italiano (e in genere degli ordinamenti di civil law) e quello statunitense:
«American prosecutors are American lawyers (...) and while no self-respecting prosecutor
would deny that truth seeking is at the heart of his work, American prosecutors, like all
American lawyers, play to win». L'Autore puntualizza la differenza tra il sistema inquisitorio
236
direttive volte ad orientare l'esercizio dell'azione penale a carico degli enti
collettivi, diffuse dal DOJ (e recentemente anche dalla SEC), hanno finito per
mutare radicalmente il regime di responsabilità penale nei confronti dell'ente
imputato.
È possibile enucleare i contenuti che tipicamente caratterizzano i
DPA485:
1) tali accordi contengono il pubblico riconoscimento da parte della
società coinvolta degli addebiti mossi nei suoi confronti. L'impresa
assume (senza necessariamente ammettere) le proprie responsabilità;
2) l'ente si impegna quasi sempre a cooperare nelle indagini, dichiarando
di non voler beneficiare delle garanzie a tutela della segretezza delle
come quello italiano, dove si pone come obiettivo centrale la ricerca della verità costi quel
che costi e invece il sistema accusatorio americano dove l'obbiettivo delle parti (società
imputata e pubblica accusa) è più modestamente “vincere la partita”. Negli Stati Uniti il
processo de societate è più paragonabile ad una partita di scacchi da vincere, che ad un
momento per ricercare la verità dei fatti a tutti i costi.
485
Si ricorda che ogni memorandum contiene delle specifiche direttive a riguardo. Secondo i
principi generali della procedura penale statunitense per decidere se intraprendere l'azione
penale il prosecutor deve considerare: a) la completezza del quadro indiziario b) la
probabilità della condanna c) l'effetto deterrente e riabilitativo della sentenza d) l'opportunità
di applicare sanzioni di natura non penale. In aggiunta a tali criteri il primo dei memoranda,
l'Holder Memo (1999) indica otto fattori da valutare nel caso in cui il procedimento penale
coinvolga un ente: 1) la natura e la gravità del reato 2) pervasività della condotta illecita
nell'ambito dell'organizzazione 3) l'eventuale coinvolgimento del management 4) la storia
dell'ente collettivo (precedenti azioni esperite in sede penale, civile o amministrativa) 5) la
tempestiva denuncia da parte della società e la sua cooperazione alle indagini 6) l'esistenza di
un effettivo compliance program 7) le azioni intraprese dall'ente per rimediare ex post al
reato, compresa l'adozione e implementazione del modello organizzativo 8) la sussistenza di
danni causati a terzi e, infine, l'adeguatezza di azioni esperibili in sede civile o
amministrativa.
Nel 2003, il successivo Thompson Memo apporta alcuni cambiamenti all'Holder
Memo. Prima di tutto aggiunge un criterio, ovvero l'adeguatezza dell'incriminazione degli
individui responsabili dell'illecito commesso all'interno dell'ente. In secondo luogo viene
specificato che sacrificare l'impresa per salvare i suoi membri (apicali o subordinati) non sia
una strategia opportuna da seguire. Inoltre, il nuovo documento introduce un paragrafo
relativo alla valutazione dei sistemi di corporate governance, ponendo l'accento
sull'adeguatezza dei poteri conferiti alle funzioni di controllo e sull'idoneità del flusso
informativo a disposizioni di questi. Maggiore rilievo è attribuito alle condotte di
collaborazione da parte dell'ente nelle indagini svolte dagli organi inquirenti.
Il Thompson Memo e il McCallum Memo (2005) intitolato “Waiver of Corporate
Attorney-Client and Work Product Protections” a sua volta sono stati rivisti dal McNulty
Memo (2006) che ha cercato di correggere l'abuso dei prosecutors circa la pretesa rinuncia
all'attorney-client privilege. Si sono poi succeduti il Filip Memo e il Moford Memo (2008).
237
comunicazioni e dei documenti confidenziali dell'impresa (si tratta dei
cd. attorney-client privileges)486; ci possono essere anche altre forme di
collaborazione come la messa a disposizione degli organi inquirenti i
propri dipendenti in qualità di persone informate sui fatti, oppure la
486
Si tratta della «most crucial evidentiary rule» in materia di processo de societate (così
E.D. DISKANT, Comparative corporate criminal liability: exploring the uniquely american
doctrine through comparative criminal procedure, op.cit., p. 154). L'attorney-client privilege
copre con il segreto potenzialmente tutto ciò che viene discusso/scritto/scambiato tra l'inhouse corporate lawyer e ogni singolo dipendente della compagnia e può coprire qualsiasi
cosa: da consulenze legali date al senior management fino a policy generali distribuite a tutta
la compagnia (l'istituto nacque in realtà nel 1915 limitatamente alle comunicazioni tra gli
avvocati e il top management o comunque il “control group” dell'ente - United States v.
Louiseville & Nashville Rairoad Co., 236 U.S. 318 (1915) - in seguito tale restrizione venne
abbandonata e il privilegio si ampliò. Nel caso Upjohn Co. v. United States, 449 U.S. 383
(1981) la Corte individua i requisiti affinché l'attorney-client privilege possa essere
applicato: 1) le comunicazioni sono indirizzate agli avvocati della compagnia per facilitare le
loro consulenze legali 2) vengono fatte su richiesta di un superiore, mai di spontanea volontà
da un dipendente 3) riguardano l'esercizio delle funzioni lavorative 4) sono considerate
confidenziali fin dal momento in cui sono poste in essere.
Il privilegio in questione è considerato in capo all'ente e non in capo ai singoli
individui, ciò significa che è la società che ha il potere di invocarlo oppure di rinunciarci, in
quest'ultimo caso “consegnando” direttamente le persone fisiche coinvolte nelle mani del
prosecutor nell'ambito di un DPA, in cui l'ente probabilmente si salverà “sulla pelle” delle
sole bad apples. Come si può facilmente intuire, l'attorney-client privilege, se non sacrificato
in forza di un DPA, può letteralmente bloccare le indagini (internal investigations), rendendo
inoltre praticamente impossibile la pratica del whistleblowing; tutte le informazioni ottenute
dalle “gole profonde” sarebbero coperte dal segreto , perciò illegalmente acquisite e dunque
inutilizzabili (l'ente affermerà che il l'in-house corporate lawyer rappresenta anche ognuno
dei singoli dipendenti della compagnia, rendendo impossibile all'autorità giudiziaria
contattare un singolo dipendente senza passare dall'avvocato della compagnia).
In generale le regole circa l'uso delle prove negli Stati Uniti sono molto più stringenti
rispetto all'Italia e agli ordinamenti con sistema inquisitorio, dove l'obbiettivo della “truth
seeking” permette di presentare quante più prove possibili pur di raggiungere la verità,
addirittura sono previsti dei poteri istruttori del giudice, mentre in nordamerica, ove vige il
sistema accusatorio, la gestione delle prove è completamente in mano al prosecutor, il
giudice non può chiedere all'autorità giudiziaria, di regola, di condurre nuove investigazioni
integrative.
Dopo il caso Stein (United States v. Stein, 2007) le Guidelines del DOJ prevedono
che il prosecutor non consideri, ai fini della valutazione del livello di cooperazione dell'ente
indagato, né l'offerta della società di pagare le spese legali ai dipendenti coinvolti nelle
investigazioni, né la scelta dell'ente di rinunciare all'attorney-client privilege. Nel caso Stein
il giudice federale ribaltò la condanna di tredici dipendenti di una grande società sotto
investigazione per frode fiscale. Infatti, il prosecutor aveva usato la carta di un possibile
DPA in cambio della sospensione della politica costante dell'ente di pagare le spese legali ai
suoi dipendenti. Il giudice affermò che ciò costituiva una violazione del V emendamento
(diritto di difesa). Dalla decisione del caso Stein in poi, si sono succedute molte proposte di
legge per disciplinare propriamente i poteri della pubblica accusa durante i DPA e NPA, ma
finora nessuna è diventata realtà.
238
sostituzione degli organi responsabili dell'area aziendale nella quale il
reato è commesso;
3) gli accordi obbligano in genere l'ente al pagamento di somme di denaro
che, a seconda dei casi, vengono versate a titolo di pena pecuniaria,
risarcimento del danno o altre “civil penalties”;
4) il fulcro dei DPA rimane comunque quello consistente nell'impegno da
parte dell'ente di avviare una serie di riforme della propria
organizzazione al fine di prevenire la commissione di ulteriori reati
della specie di quelli verificatosi, nonché l'implementazione di
compliance programs (funzione special-preventiva dei DPA). Si tratta
di misure di compliance precedentemente concordate con gli organi
inquirenti la cui tempestiva attuazione è controllata da “compiance
monitors” esterni.
I DPA stanno vivendo un momento d'oro, dovuto anche alla paura delle
potenziali devastanti conseguenze di una condanna (cd. “Effetto Andersen”)487.
L'ex procuratore generale Lanny Breuer e, fino a poco tempo fa, capo della
sezione penale del DOJ, in un ormai famoso discorso presso la New York City
Bar Association, esaltava le virtù della DPA488. Breuer osservava che «DPAs
have become a mainstay of white collar criminal law enforcement» elogiando
il loro potere di cambiamento sulle corporations come «a truly transformative
effect on particular companies and, more generally, on corporate culture
across the globe»489. In particolare Breuer ha parlato a lungo dei potenziali
effetti collaterali della condanna (il cd. “Effetto Andersen”), lodando quindi i
DPA come strumento ideale per conferire al governo una “leva”, al fine di
487
Cfr. L'articolo del New York Times del 7 luglio 2011, G. MORGENSON - L. STORY,
Behind the Gentler Approach to Banks by U.S., circa l'incremento dell'uso dei DPA e una
panoramica circa le critiche di questo uso-abuso da parte dei prosecutors.
488
L.A. BREUER, U.S. Department of Justice, presso the New York City Bar Association
discorso del 13 settembre 2012: http://www.justice.gov/criminal/pr/speeches/2012/crmspeech-1209131.html
489
Ibidem.
239
ottenere accordi in quelle situazioni in cui i prosecutors in precedenza non
avevano di fronte che una scelta secca («stark choice»): «o incriminare, o
rinunciarci»490.
Ma mentre i DPA risultano tuttora “in voga” presso il Dipartimento di
Giustizia (DOJ), continuano ad essere aspramente criticati altrove. In realtà,
infatti, l'effetto leva degli agreements elogiato da Breuer risulta molto
controverso tra gli accademici e l'ordine degli avvocati. Il Professor Mike
Koehler, uno dei maggiori esperti sul Foreign Corrupt Practices Act, ha
risposto a Breuer affermando che non vi è nulla di male nella decisione secca
tra la condanna e il rifiuto a perseguire l'ente che si profila davanti ai
prosecutors: «there is absolutely, positively nothing wrong with this choice.
Bringing criminal charges against a person (natural or legal) should not be
easy. It should be difficult. Our founding fathers recognized this as a
necessary bulwark against an all powerful government. There is no legal or
policy reason warranting a change from such a fundamental and long-lasting
principle»491.
Allo stesso modo, altra dottrina accusa il Dipartimento di Giustizia di
aver abusato del suo potere discrezionale condizionando l'offerta di un DPA
alla richiesta di implementazione di costosi compliance program e, in
particolare, richiedendo che l'ente rinunci all'attorney-client privilege come
parte dell'accordo; in questo modo il DOJ può utilizzare documenti segreti
aziendali per perseguire i singoli esponenti della compagnia (bad apples)492.
Di solito la medesima dottrina argomenta che le corporations temendo il
490
Ibidem.
M. KOEHLER, Assistant Attorney General Breuer’s Unconvincing Defense of
DPAs/NPAs, (discorso del 17 settembre 2012), http://www.fcpaprofessor.com/assistantattorney-general-breuers-unconvincing-defense-of-dpas-npas.
492
Cfr. M.L. SEIGEL, Corporate America Fights Back: The Battle Over Waiver of the
Attorney–Client Privilege, 49 Boston College Law Review, 1, 54 (2008), l'Autore afferma
che i prosecutors dovrebbero continuare ad avere il diritto di richiedere come parte degli
agreeements la rinuncia all'attorney-client privilege, ma dovrebbero essere assicurate
protezioni maggiori agli individui per rispettare i loro diritti circa il diritto contro
l'autoincriminazione.
491
240
pericolo di essere espulsi dal mercato ed avere lo stesso destino di Arthur
Andersen, non hanno altra scelta che cedere ad ogni richiesta dei prosecutors
senza dare importanza al fatto che potrebbe essere (e spesse volte è) ingiusta o
coercitiva493. Un'esemplificazione ci viene dall'ex commissario della SEC,
rinomato professore della Stanford Law School, Joseph Grundfest, che nel
2005, prima del noto salvataggio di American International Group (AIG),
affermò che: «if the government insists that A.I.G.’s chief executive be fired as
part of the price of not indicting the firm, the chief executive is gone»494.
Altri critici sostengono che i DPA non siano altro che «ineffective sweetheart
deals» privi di efficacia deterrente, che anzi consentono alle imprese di
continuare con i loro affari criminali, ricevendo al massimo come pena «a slap
on the wrist». Questi critici in genere sostengono che le aziende dovrebbero
invece essere oggetto di incriminazione e condanna penale al fine di
mantenere un forte effetto deterrente495. Questa prospettiva, che tiene traccia
dei molti sentimenti populisti prevalenti nella coscienza americana di oggi, è
ben rappresentata dagli scritti di Randall Eliason, un ex prosecutor
specializzato in frodi operante nel il Distretto di Columbia. Questi, a proposito
dell'aumento dell'uso dei DPA, scrisse: «con la minaccia della responsabilità
penale sostanzialmente fuori dai giochi, i dirigenti aziendali potrebbero essere
più disposti a scherzare con il fuoco e ad assumere rischi a piene mani». Se la
493
Cfr. L.K. GRIFFIN, Compelled Cooperation and the New Corporate Criminal
Procedure, 82 New York University Law Review, 327, (2007): «Because virtually no
company will risk indictment, prosecutors have come to expect compliance with every
government demand»; E. PAULSEN, Imposing Limits on Prosecutorial Discretion in
Corporate Prosecution Agreements, 82 New York University Law Review, 1457, (2007):
«The legal and reputational vulnerabilities detailed above make corporations uniquely weak
negotiators in the criminal context. Since corporations cannot run the risk of going to trial,
their choice to accept a deferred prosecution agreement is not really a choice at all»; Cfr.
anche A. WEISSMANN - D. NEWMAN, Rethinking Corporate Criminal Liability, 82
Indiana Law Journal, p. 426 (2007), affermano come dopo il caso Andersen: «corporate
America could see both the resolve of the government to prosecute even the largest of
corporations, as well as the consequences that could ensue from a company’s refusal to
settle».
494
J.A. GRUNDFEST, Over Before it Started, New York Times, 14 giugno 2005.
495
B.L.GARRETT, Globalized Corporate Prosecutions, 97, Virginia Law Review, 1795
(2011).
241
prospettiva di sanzioni penali reali nei confronti della società è rimossa, allora
essere o meno coinvolta in reati diventa, per la società, solo un'altra mera
questione di soldi, e quindi risolvibile pagando. L'aspetto della condanna
morale di una condanna penale, lo stigma, è perso, e con esso il valore
deterrente unico del diritto penale496. Questa corrente critica ha recentemente
raggiunto nuova forza dopo che nel dicembre 2012 il Dipartimento di
Giustizia ha annunciato di aver stipulato un DPA del valore di 1,9 miliardi
dollari con HSBC, la terza più grande banca quotata in borsa al mondo. HSBC
fu accusata di aver deliberatamente riciclato miliardi di dollari in contanti in
favore di violenti cartelli internazionali della droga, come il cartello messicano
di Sinaloa e il colombiano Norte del Valle, nonché di «aver violato le norme
degli Stati Uniti per anni, conducendo illegalmente transazioni per conto della
clientela in Iran, Libia, Cuba, Sudan e Birmania»497. Eppure, nonostante
queste pesantissime accuse, il DOJ si accontentò di concludere un DPA con
HSBC; l'ex procuratore generale Breuer semplicemente dichiarò che HSBC
era stata ritenuta responsabile di grossolani errori di vigilanza498. La risposta
dell'opinione pubblica non si fece attendere. Un editoriale del New York Times
scrisse che si trattava di «una giornata nera per lo stato di diritto» e che il
governo aveva accettato che la nozione di too big to fail si trasformasse in
496
R.D. ELIASON, We Need to Indict Them, Legal Times, 22 Settembre 2008; Cfr. anche S.
S. BEALE, A Response to the Critics of Corporate Criminal Liability, 46 American Criminal
Law Review, 1481, 1482–86 (2009) quest’ultima autrice argomenta che le corporations in
quanto protagonisti potenti e di grandi dimensioni della scena criminale, sono più che una
mera finzione e dovrebbero rispondere direttamente delle loro azioni. Circa la necessità del
controllo penale sulle corporations come entità collettive si veda DE MAGLIE, L'etica e il
mercato, op. cit. pp. 245-299; per la dottrina americana si veda L. FRIEDMAN, In defence
of corporate criminal liability, in 23 Harvard Journal of Law & Public Policy, p. 833, 2000,
il quale risponde agli attacchi di V.S. KHANNA, Corporate Criminal Liability: What
Purpose does it Serve? in 9 Harvard Law Review, 1477, 1499 (1996); V. S. Khanna, Is the
Notion of Corporate Fault A Faulty Notion?: The Case of Corporate Mens Rea, 79 Boston
University Law Revew, 355 (1999).
497
J. O’TOOLE - C. RILEY, HSBC Pays $1.9 Billion to Settle U.S. Probe, CNN MONEY,
articolo dell'11 dicembre 2012, http://money.cnn.com/2012/12/10/news/companies/hsbcmoney-laundering/.
498
Ibidem.
242
quella di too big to jail499. Allo stesso modo, il Professor William Black, ha
osservato che HSBC è stata «una recidiva di proporzioni epiche» che ha
ingannato il DOJ e altre autorità di regolamentazione, tradendo così i propri
doveri verso la nazione e cittadinanza»500. Altri commentatori sono stati più
moderati, ma comunque critici sollevando forti dubbi sul fatto che tali accordi
possano costituire un vero “castigo” per le grandi aziende e che possano
realmente servire e fungere da deterrente relativamente ai white collar crimes;
ancora, sulla veridicità delle affermazioni di Breuer relativamente al fatto che i
DPA implichino una maggiore la responsabilità per crimini aziendali si
afferma: «è tutt'altro che chiara»501.
La polemica sui DPA è ancora aperta. Eppure, non è mai stata accompagnata
da alcun tentativo di studiare gli effetti sulle corporation sia di una condanna
vera e propria, piuttosto che di un DPA. La politica statunitense del preferire i
DPA alle condanne penali è basata prima di tutto sulla paura dell'“Effetto
Andersen”, ma tale paura non è supportata al momento da alcuna evidenza
empirica. Semmai cominciano a comparire saggi come quello di Markoff che
affermano il contrario: l'“Effetto Andersen” è un mito502. Anche, la cronaca
499
Editoriale, Too Big to Indict, New York Times, 12 dicembre 2012.
W. K. BLACK, Why Did Obama and Cameron Save a Criminal Enterprise Like HSBC?
Huffington Post (13 Dicembre 2012), http://www.huffingtonpost.com/william-kblack/hsbcsettlement_b_2291859.html.
501
A. SHERTER, HSBC Bankers Dodge Personal Accountability, CBS moneywatch,
articolo del 12 dicembre 2012: http://www.cbsnews.com/8301-505123_162-57558734/hsbcbankersdodge-personal-accountability/. Un mese dopo Breuer annunciò le sue dimissioni,
nel gennaio 2013 e poco dopo apparse in un documentario di Frontline, dal titolo: The
Untouchables. In questo documentario Breuer fu pesantemente criticato circa la sua visione
della persecuzione penale degli enti per frodi finanziarie, all'indomani della pesante crisi che
aveva colpito l'occidente; Cfr. S. CHILDRESS, Report: DOJ Criminal Chief Lanny Breuer
Stepping Down, FRONTLINE: http://www.pbs.org/wgbh/pages/frontline/business-economyfinancial-crisis/untouchables/report-doj-criminal-chief-lanny-breuer-stepping-down/
(articolo del 23 gennaio 2013).
502
G. MARKOFF, Arthur Andersen and the myth of the corporate death penalty: corporate
criminal convictions in the twenty-first century, in 5 U. Pa. J. Bus. L. 707 (2013) afferma non
esserci studi finora circa cosa realmente accade dopo la condanna di una corporation e
propone la sua analisi qui citata come innovativa. La sua conclusione è che non vi è alcuna
traccia del cd. “Effetto Andersen” ormai. Quasi nessun ente imputato fa la fine di Anrtur
Andersen. L'Autore prende spunto dai dati sulle corporations raccolte da L.B. GARRETT,
Globalized Corporate Prosecutions, op. cit.
500
243
pare suggerire il contrario: è raro che una corporation condannata fallisca
ormai503, di solito sopravvive sul mercato anche dopo la condanna. E, in ogni
caso, nessuno si è mai preso la briga di dimostrare che tale effetto Andersen
tuttora sia realmente esistente. La seconda ragione tipicamente data per l'uso
dei DPA è quella per cui questi possono essere usati per obbligare le società ad
implementare
compliance
programs,
cooperare
post
delictum
nelle
investigazioni contro le persone fisiche coinvolte, e realizzare altre riforme
strutturali. Questi vantaggi non sono solitamente disponibili quando le società
sono condannate durante un processo (e quindi senza un DPA, che porta ad
archiviare il procedimento), in quanto non si tratta di normali pene, e sono
applicabili solo tramite consenso.
In conclusione i DPA sono oggetto di opinioni discordanti: secondo
alcuni la condanna dell'impresa non aggiungerebbe nulla di più alla mission
del prosecutor in quanto nel momento in cui l'impresa sceglie la via della
deferred prosecution, il processo di trasformazione della cultura di impresa ha
già avuto inizio; al contrario altri osservano come l'estensione di tali
agreements alle imprese rappresenti una vittoria delle corporations, simbolo
del potere capitalistico occidentale, che già da tempo portano avanti ogni
tentativo per indebolire, vanificare ed eliminare il regime di responsabilità
penale delle società.
Comunque, va osservato che la dicotomia che spesso si tratteggia:
condanna penale vs. DPA in realtà non riflette affatto tutte le sfumature
possibili nel panorama della corporate prosecution: si pensi per esempio alla
sanzione penale della probation. L'ordinamento statunitense attraverso i
corporate probation orders (introdotti con il Sentencing Reform Act del 1984
503
Cfr. SEIGEL, op. cit., p. 18: «the collapse of (Andersen) as a result of being indicted was
the exception, not the rule»; D.C. BALL - D.E. BOLIA, Ending a Decade of Federal
Prosecutorial Abuse in the Corporate Criminal Charging Decision, 9 Wyoming Law
Review 229, 239 (2009), p. 251 riconoscono che: «no major corporation has been driven out
of business by a government indictment since the Arthur Andersen case», (citando J.A.
GRUNDFEST, Over Before it Started, New York Times, 14 giugno 2005).
244
e oggi disciplinati dalle FSGO) è capace di riabilitare l'ente collettivo
modificandone la struttura organizzativa a scopi prevenzionistici non con
minore successo di quanto possa avere un DPA. Le forme che possono
assumere tali sanzioni coincidono con i contenuti che i DPA normalmente
presentano nella prassi. Anche il probation order, come gli accordi, sono
sottoposti ad un termine massimo di durata (non oltre cinque anni). Quanto
alle condizioni obbligatorie per irrogare la pena in esame, la sentenza deve
ammonire l'impresa a non commettere altri reati durante il periodo di tempo
stabilito dal giudice; in caso di delitto la Corte deve imporre in via generale,
salvo casi eccezionali, una delle misure tra fine, restitution o community
service. Le condizioni facoltative del probation inoltre presentano una marcata
funzione riabilitativa e prevenzionistica: l'obbligo da parte dell'impresa
condannata di rendere conto al giudice e all'ufficiale incaricato della fase
esecutiva
della
propria
situazione
economica
e
finanziari
nonchè
dall'andamento della propria attività; la sottoposizione a controlli periodici da
parte di funzionari pubblici ai quali è anche consentito di assumere
informazioni dai dipendenti dall'azienda e infine l'adozione di un compliance
program preventivamente vagliato dalla Corte. È il caso di dire, dunque, che
non stupisce che i DPA vengano considerati una sorta di probation senza
condanna504. Senza Stigma. La differenza, appunto, sarebbe tutta nel
messaggio di rimprovero e di deterrenza che si vuole trasmettere al corporate
offender e alla generalità dei consociati il quale costituisce prerogativa
esclusiva della condanna in sede penale505.
Il DOJ, quindi, attualmente non sta affatto portando avanti epici
processi “di vita o morte” contro le società; le condanne sono in realtà molto
504
WEISSMAN - NEWMAN, Rethinking Criminal Corporate Liability, op. cit., p. 413.
In questo senso Cfr. R. MOKHIBER, Crime without convinction: the rise of deferred and
non-prosecution agreements, Corporate Crime Reporter, 28 dicembre 2005, p. 20, § 75:
«(...) nella prassi odierna che vede un sempre più elevato numero di deferred prosecution e
non-prosecution agreements, i Pubblici Ministeri diffondono un messaggio diverso alle
imprese responsabili di attività criminose: ‘non vi preoccupate, potrete commettere tutti i
reati che vorrete, dalla truffa alla corruzione. Se ci aiuterete a perseguire gli individui
responsabili, per voi non ci sarà alcuna condanna’».
505
245
rare e più del 90% dei processi a società hanno luogo attraverso dei plea
agreements, esattamente come avviene in ogni altro tipo di federal criminal
prosecution506. Nell'anno fiscale 2010, per esempio, 139 società su 145
condannate da una corte federale sono state condannate tramite un plea
agreement507 ovvero un patteggiamento, che differisce dai DPA e dai NPA. Il
patteggiamento o plea bargaining/agreement consiste in uno scambio tra
defendant e pubblica accusa nel quale il primo offre la sua dichiarazione di
colpevolezza e la rinuncia ad una serie di garanzie costituzionali508 in cambio
di uno sconto sulla pena. Il giudice rimane estraneo alle negoziazioni e si
limita ad accertare, una volta concluse le trattative, la consapevolezza
dell'auto-incolpazione (intelligence e voluntariness), il riscontro di evidenze
fattuali della responsabilità del'accusato, nonché l'effettiva e qualificata
assistenza dell'imputato da parte di un rappresentante tecnico (counsel)509.
506
L.B. GARRETT, Globalized Corporate Prosecutions, op. cit., pp. 1801, afferma ciò e
sottolinea che secondo le statistiche della Sentencing Commission soltanto il 9 % delle
società condannate hanno subito un processo penale con relativa sentenza definitiva negli
anni 2000-2008. L'Autore afferma: «we know little about corporate convictions and guilty
pleas generally...Deferred and non-prosecution agreements have received scrutiny by
Congress, the GAO, the DOJ, judges, the Bar, scholars, and corporations. Corporate
convictions have not received such attention».
507
USSC, 2010 sourcebook of federal sentencing statistics tbl.53 (2010).
508
Ovvero: il privilege against self-incrimination, IV emendamento; il diritto al confronto
con i testimoni dell'accusa mediante cross examination, VI emendamento; l'operatività
dell'onere della prova beyond any reasonable doubt a carico del prosecutor e la presunzione
di innocenza; la possibilità di far valere le violazioni dei principi costituzionali verificatesi
durante le indagini preliminari; il diritto di produrre test e prove a discarico; il diritto ad
appellare, in taluni accordi, la sentenza o alla revisione della stessa.
509
Occorre precisare che i plea bargaining non coincidono con i guilty plea: tra i due esiste
un rapporto di strumentalità eventuale; infatti, la dichiarazione di colpevolezza (guilty plea)
non presuppone necessariamente l'esistenza di un previo accordo tra accusa e difesa, anche
se il guilty plea è sempre lo strumento del bargaining (patteggiamento). Il procedimento
speciale del plea bargaining è stato dichiarato ufficialmente compatibile con i principi
costituzionali solo dopo la alcune sentenze degli anni Settanta (Bradley v. United States,
397 U.S. 742 (1970); Santobello v. New York, 404 U.S. 257 92 S.Ct. 495, 30 L.Ed.2d 427
(1971)). Nel 1974 il patteggiamento venne recepito ufficialmente attraverso il varo di una
norma federale che attribuisce pieno valore all'interno del processo ai plea discussion and
agreements (di cui il guilty plea costituisce l'adempimento da parte dell'imputato) che siano
resi pubblici durante l'udienza dedicata al pleading ed approvati dal giudice.
246
§ 3.3 CONCLUSIONI: LIMITARSI ALLE “BAD APPLES” O ABBATTERE
I “BAD TREES”?
Gli Stati Uniti sono divisi da un dilemma morale circa gli atti criminali
delle corporations: usando una prospettiva utilitaristica la punizione dell'ente
dovrebbe avere certamente maggiore forza deterrente510; d'altra parte punire
l'ente potrebbe causare (come è successo con Andersen) il cd. effetto overspill,
ovvero il coinvolgimento in negativo di diverse parti innocenti, come i
lavoratori dipendenti (solitamente di basso grado, ignari dei meccanismi
decisionali dell'ente e che perderanno il lavoro qualora l'impresa dovesse
fallire a seguito della condanna), i soci, i creditori, gli azionisti511.
Nel 2013 l'Attorney General Eric Holder ha affermato davanti al Senato: «I am
concerned that the size of some of these institutions becomes so large that it
does become difficult for us to prosecute them when we are hit with
indications that if we do prosecute - if we do bring a criminal charge - it will
have a negative impact on the national economy, perhaps even the world
economy. I think that is a function of the fact that some of these institutions
have become too large (...) The greatest effect is not to prosecute a
corporation, although that it is important - the greatest deterrent effect is to
prosecute the individuals in the corporations that are responsible for the
decisions»512.
510
Per una brillante esposizione di filosofia morale e politica anche relativamente
all'utilitarismo di Bentham e Mill applicabile alle corporations si veda il lavoro che raccoglie
tutte le lezioni del Prof. M.J. SANDEL presso la Harvard Law School, Giustizia (Feltrinelli,
2010); il corso è ora disponibile anche online: http://www.justiceharvard.org/.
511
Vero anche che se si considera quanto appena detto finora: non trovandosi traccia di un
reale effetto Andersen, non esistono più molte ragioni per non incriminare le corporations.
Sulla controcritica al concetto di overspill e sui side effects dell'incriminazione dell'ente, su
come questi siano in realtà presenti in ogni tipo di condanna non solo penale ed anche in
relazione alle condanne di individui si veda diffusamente DE MAGLIE, L'etica e il mercato,
op. cit.
512
Così EDWARS - BRASWELL, Corporate, Misconduct and Ethics, op. cit., p.388.
247
Il DOJ quindi si è quindi schierato: dichiara guerra alle bad apples e le
elimina una ad una (con pesantissime sanzioni che farebbero impallidire le
pene inflitte in Italia agli individui, anche grazie al Sarbanes Oxley Act e al
recente Dodd-Frank Act513) “alleandosi”, attraverso i DPA, con i bad trees, le
corporations.
Si delinea quindi la “parabola” di cui abbiamo discusso al § 2.2.3:
l'evoluzione della corporate criminal liability americana dopo un tratto in
ascesa che ha caratterizzato tutto il XX secolo (a partire anche da prima del
caso New York Central & Hudson River Railroad del 1909), ha cominciato la
sua discesa, dopo il collasso di Enron ed Arthur Andersen, sfumando nella
mera responsabilità individuale delle bad apples. L'inizio della “caduta libera”
del concetto di responsabilità penale delle corporations deve essere senz'altro
fatto coincidere con l'incremento del ricorso (e a volte dell'abuso) degli
accordi tra pubblica accusa e gli enti imputati (DPA e NPA)514.
513
Si tratta di una legge del 2010 che incoraggia i whistleblowers a parlare. In particolare
questa norma ha creato un fondo che permette agli informatori di venire ricompensati con
una cifra tra il 10 e il 30% di ogni pena pecuniaria inflitta alla compagnia. Così EDWARS BRASWELL, Corporate, Misconduct and Ethics, op. cit., pp. 85, 86.
514
Pare doveroso affermare che il concetto di corporate criminal liability statunitense, per
quanto precoce, non è mai stato sostenuto da una solida base dottrinale, la dottrina
statunitense non ha mai fatto “sforzi” paragonabili a quella italiana o inglese per tentare di
rendere il nuovo istituto compatibile con i dettati costituzionali. A riguardo si veda E.B.
DISKANT, Comparative corporate criminal liability: exploring the uniquely american
doctrine through comparative criminal procedure, op. cit., p. 134, 137, che sostiene come il
concetto di responsabilità penale degli enti in USA sia soprattutto frutto del “creative
lawyering”dei prosecutors: «prosecutors, rather than legislative bodies; have played a
critical role in crafting the American doctrine» e ancora «the true origins of American
criminal liability (...) did not lie in legislative efforts, nor did they result from policy debates
or logically crafted statutory choices. Rather, the drive toward entity criminal liability
stemmed primarily from the efforts of American prosecutors who creatively and aggressively
applied statutory and common law and from the early American Courts that allowed them to
do so». L'Autore precisa che ciò non significa che il Congresso non ha avuto alcun ruolo
nello sviluppo del concetto di responsabilità degli enti, al contrario «both before and after
New York Central, Congress enacted thousands of statues creating new or additional
criminal liability for corporation», si pensi al Securities Act del 1934 o all'Interstate
Commerce Act e altri provvedimenti varati dal Congresso che includono specifiche
previsioni di responsabilità penale delle società (Ibidem, p. 138). Anche secondo
WEISSMANN - NEWMANN, Rethinking criminal corporate liability, op. cit. p. 418, tale
concetto di responsabilità penale societaria si è quindi sviluppato senza alcuna base teorica:
«nearly every scholarly article on this topic...makes a concession to the effect that the
doctrine of corporate criminal liability has developed without any theoretical justification»;
248
Certo è che i DPA possono essere utilizzati per contenere gli “effetti
collaterali” di una eventuale condanna ed incriminazione di una persona
giuridica “too big too fail”: essi tendono ad evitare il temutissimo “Effetto
Andersen”; la condanna della Andersen (poi annullata per vizi nell'istruttoria)
generò infatti pesanti side effects515. Tuttavia, gran parte della dottrina
americana attuale non concorda con la presa di posizione di Holder e del DOJ.
Sulla necessità di punire penalmente anche le corporation, oltre agli individui,
si è espressa anche G.S. MOOHR: «failing to address the bad tree of
corporate complicity and continuing to target only individual bad apples can
create a false impression among the public. Trials, plea bargains, and
accompanying headlines about arrested and convicted executives and
employees may generate the perception that misconduct at business firm is an
exceptional occurrence, committed only by deviant person»516. In definitiva
l'effetto general-preventivo, mancando lo stigma - che solo una condanna
penale può infliggere - verrebbe a mancare.
È innegabile che ci siano punti di contatto tra il sistema italiano e quello
statunitense, anche se «profondamente diversa è la filosofia che sta alla base
della persona giuridica in questi due sistemi»517. La “compliance 231” italiana
si ispira a quella nordamericana, ma permangono grandi differenze tra i due
ordinamenti. La differenza primaria, come si è già visto, è che i compliance
si veda anche G. MUELLER, Mens rea and the corporation: a study of the model penal code
position of corporate criminal liability, 19 U. Pitt. Law Review, 21 (1957) che a proposito
dello sviluppo del concetto di responsabilità penale degli enti negli Stati Uniti afferma:
«nobody bred it, nobody cultivated it, nobody planted it. It just grew», il fondamento teorico
è dunque praticamente ridotto all'essenziale.
515
Circa le pesanti ripercussioni della condanna di Arthur Andersen prima di tutto sui
dipendenti, preoccupati (in quel caso a ragione) per il loro posto di lavoro, si veda LAUFER,
Corporate bodies and guilty minds, op. cit., cap. I, in cui si legge della protesta di centinaia
di lavoratori che «in black-and-orange T-shirts declaring ‘I am Arthur Andersen’».
Tuttavia, come si è già avuto modo di osservare, attualmente non esiste alcuna prova
empirica di un potenziale “Andersen bis” qualora una corporation venisse condannata. Cfr.
G. MARKOFF, Arthur Andersen and the myth of the corporate death penalty: corporate
criminal convictions in the twenty-first century, op. cit.
516
G.S. MOOHR, Of Bad Apples and Bad Trees: Considering Fault-Based Liability for
Complicit Corporations, op. cit. p. 756.
517
Così E. FUSCO, Riflessioni sulla compliance in U.S.A. e in Italia, in La responsabilità
amministrativa delle società e degli enti, n.2, 2011, p. 1.
249
programs statunitensi non sono mai esimenti (come invece i modelli italiani
ex art. 6, d.lgs. 231/2001), per usare il linguaggio giuridico americano: essi
non integrano una “defense”, servono “soltanto” a mitigare le sanzioni (molto
più gravose che in Italia). Come l'ordinamento italiano si è ispirato
apertamente gli Stati Uniti (il richiamo è esplicito nella Relazione Ministeriale
al d.lgs. 231/2001), così, recentemente, gli Stati Uniti sembrano volersi
ispirare al garantismo italiano, citando come esempio la defense prevista dal
d.lgs. 231/2001 davanti al Congresso, se non per tutti, almeno per alcuni reati,
come quelli relativi alla corruzione518.
Ancora a proposito di differenze tra l'ordinamento italiano e quello
americano, il sostituto procuratore della Repubblica presso il Tribunale di
518
A questo proposito si veda l'interessante articolo di B. BERTUCCIOLI, L'ascesa e
(momentanea?) caduta della esimente o compliance defense, nella più recente esperienza
americana: il pronunciamento del 14 novembre 2012 da parte del U.S. Department of
Justice (DOJ) e del U.S. Securities and Exchange Commission (SEC) nel rapporto linee
guida sul U.S. Foreign Corrupt Practices Act (FCPA), in La responsabilità amministrativa
delle società e degli enti, n.1, 2013, pp. 197 ss.: «l'esimente nella veste contemplata dal
legislatore italiano nel d.lgs.231/2001 è frequentemente citata, come ‘compliance defense’,
negli USA da studiosi e da quanti ne hanno fatto un punto di forza per sollecitare una riforma
al U.S.Foreign Corrupt Practices Act (FCPA), allo scopo di limitare l'interventismo
crescente dal 2001 del potere giudiziario nel mondo aziendale americano. In particolare i
fautori di una riforma del FCPA , nell'estate del 2011 presentando una memoria al Congresso
dove spicca il riferimento al d.lgs. 231/2001, hanno promosso un acceso dibattito per
premere sul Dipartimento di Giustizia americano (DOJ) e sollecitare un chiarimento su vari
punti di attenzione , tra cui la necessità di adottare una compliance defense come previsto dal
legislatore italiano fin dal 2001 e riproposta nel 2010 dal UK Bribery Act. A riscontrare le
sollecitazioni dopo oltre un anno, lo scorso 14 Novembre è stato pubblicato dal DOJ insieme
alla U.S. Securities and Exchange Commission (SEC) il Rapporto Linee Guida sul U.S.
Foreign Corrupt Practices Act (FCPA): la compliance defense come termine non vi viene
nemmeno citata, ma ‘de facto’ quanto meno emerge nei chiarimenti offerti dal Rapporto
lasciando presupporre che quanto previsto dal legislatore italiano potrà magari un giorno
avverarsi anche negli USA».
Insieme ad altri punti, l'esimente in questione viene quindi evocata e proposta come
esempio per rendere meno gravosa sulle aziende l'ottemperanza al disposto del FCPA in caso
di violazioni. Fin dagli anni Ottanta i tentativi di riformare l’FCPA hanno contenuto
riferimenti a qualche forma di compliance defense. Come riporta il Prof. M. KOHLER
(Southern Illinois University School of Law, che cura il proprio Blog “The FCPA Professor”)
nel suo interessante articolo Revisiting a Foreign Corrupt Practices act compliance defense,
in Wisconsin Law Review, Jan. 10, 2012, 609, afferma che il primo riferimento in assoluto
ad una compliance defense che si ricordi venne fatto nel 1983 durante un'audizione alla
Camera. KOHLER nello studio «The compliance defense around the world» (sul suo blog, in
data 28 giugno 2011) nota che su 38 paesi membri dell'OCSE, ormai ben 12, tra i quali
l'Italia, hanno nelle loro legislazione una forma di «compliance defense».
250
Milano, Eugenio Fusco, spiega bene perché la procedura penale statunitense
non è garantista, ma al contrario spesso eccessivamente discrezionale.
Quest'ultima porta non di rado all'abuso di potere del prosecutor attraverso un
uso smodato e arbitrario dei DPA e NPA. L'ente per conquistarsi benefici in
chiave premiale collabora con l'accusa nella scoperta dell'illecito, fornendo un
grande contributo nella raccolta delle prove. Di fatto l'ente anticipa la sua
incriminazione “proponendo” al prosecutor (o sarebbe meglio dire che è il
prosecutor che “propone” alle proprie condizioni, come per esempio la
rinuncia all'attorney-client privilege) un'offerta di totale cooperazione che
comprende una sorta di consegna del responsabile persona fisica (reverse
whistleblowing). In questo modo la ricerca del colpevole è delegata in larga
misura ad internal investigations condotte da studi privati (con l'aiuto di
società di revisione e consulenti). Fusco si mostra scettico a riguardo
dichiarando: «ho qualche dubbio che questa procedura di indagine sia
connotata da adeguate garanzie per le persone fisiche indagate»519. La
corporation conta in questo modo di raggiungere un accordo con la pubblica
accusa per bloccare il procedimento aderendo ai DPA. Infine, spesso il DOJ
impone all'ente precise prescrizioni in tema di compliance ed è chiaro che
incidere sulla compliance di una società significa intromettersi nella sua stessa
governance. Fusco afferma: «a ben vedere si tratta di una trattativa in cui
particolare rilievo ha la forza contrattuale delle parti in causa. Certamente non
equiparabile al patteggiamento previsto nel nostro sistema sia per gli enti che
per le persone giuridiche»520.
519
FUSCO, Riflessioni sulla compliance in U.S.A. e in Italia, p. 124.
Ibidem. In Italia non esiste l'istituto dei DPA o NPA, il patteggiamento, previsto dal
codice di procedura penale all'art. 444 si avvicina più al probation statunitense, che si non
comporta l'archiviazione del procedimento (comportata invece dai DPA), quanto piuttosto d
una possibile sospensione condizionale della pena. L'art. 63 del d.lgs. 231/2001, al comma 1,
consente l'applicazione della sanzione su richiesta delle parti (patteggiamento) ogniqualvolta
il giudizio nei confronti della persona fisica imputata sia definitivo o comunque sia definibile
a norma dell'art. 444 del codice di rito, nonché in tutti i casi nei quali per l'illecito ex crimine
è prevista una sola sanzione pecuniaria anche nell'ipotesi in cui quest'ultima sia applicabile a
seguito delle condotte riparatorie ex art. 17 d.lgs. 231/2001 (attuate prima della richiesta o
perfezionate a seguito della sospensione dell'udienza preliminare attraverso un'applicazione
520
251
Ma per quale motivo le corporations sono disposte ad accettare accordi
di deferred prosecution che per chiudere il contenzioso prevedono addirittura
intromissioni del prosecutor nella governance di impresa?
Il motivo sta nella paura del cd. “Effetto Andersen”. Fusco ne parla
come effettivamente esistente. Mentre abbiamo visto che la dottrina americana
più recente va in senso opposto (ma si tratta pur sempre, ancora, di
un'eccezione). Negli Stati Uniti, scrive Fusco «i danni reputazionali possono
essere devastanti per una corporation già al momento dell'indictment»521, al
estensiva dell'art. 65 del d.lgs. medesimo). Fermo restando che qualora debba essere
comminata la sanzione interdittiva definita ex art. 16, il rito è precluso a norma del
successivo art. 63 comma terzo). Il patteggiamento è tra i riti deflattivi di portata maggiore; è
modellato sui plea bargaining anglo-americani e fa parte della cd. “giustizia consensuale”,
tale da indurre la dottrina a configurare, da una lettura sistematica del principio di
ragionevole durata del processo (art. 111 comma secondo, Cost. ) e del diritto di difesa (art.
24, comma secondo, cost.), un vero e proprio “diritto di difendersi negoziando” (Cfr. M.
PISANI, Italian Style: figure e forme del nuovo processo penale, Cedam, 1998, p. 91; P.
TONINI, Manuale di procedura penale, Cedam, 2012, pp. 763 ss.). Anche il patteggiamento
come il bargaining, consiste in uno scambio tra le parti: per un verso la scelta dell'imputato
di aderire al rito risponde a logiche di convenienza, non certo alla volontà dello stesso di
collaborare con l'ordinamento, per altro verso la pubblica accusa opera in una prospettiva di
smaltimento della mole dei procedimenti. Il giudice si trova in posizione neutrale e al di
sopra delle parti, con il compito di controllare la corretta qualificazione giuridica del fatto,
nonché la congruità della pena indicata.
Nonostante il procedimento speciale italiano del patteggiamento si incardini nel
processo vero e proprio (in quanto la richiesta ex art. 447, co. 1 c.p.p. costituisce pur sempre
l'esercizio dell'azione penale), non mancano affinità con la deferred prosecution: 1) prima di
tutto, la richiesta di patteggiamento da parte dell'imputato, così come lo statement of facts
contenuto nei DPA, non equivale ad una ammissione di responsabilità (Cfr. in questo senso,
ex multis, G. LOZZI, L'applicazione della pena su richiesta di parti, in Riv. it. dir. proc.
pen., 1989, p. 45; nella II Relazione per l'emanazione del nuovo codice di rito nel 2008 si
legge: «con la richiesta di applicazione di pena concordata l'imputato rinuncia al giudizio
nelle forme ordinarie, non ammette la sussistenza del fatto (...) accetta il rischio che la
verifica giudiziale della fondatezza dell'imputazione, proprio perché condotta secondo il
criterio dell'accertamento incompleto, non pieno»); 2) in secondo luogo, ex art. 444 comma 3
c.p.p., la parte nel formulare la richiesta può subordinarne l'efficacia alla concessione della
sospensione condizionale della pena. Tuttavia a quest'ultimo proposito è doverosa una
precisazione: nonostante la sospensione condizionale della pena sia qualificata formalmente
come una causa di estinzione del reato, trattasi in realtà, secondo la dottrina maggioritaria di
una «sospensione dell'esecuzione della pena» (Cfr. G. FIANDACA - E. MUSCO, Diritto
penale. Parte generale, Zanichelli, 2007, p. 788). Questa misura di sospensione deve essere
comparata più al probation anglo-americano che ai DPA. Tutto ciò senza considerare che
l'applicabilità della sospensione condizionale della pena al sistema della responsabilità da
reato degli enti collettivi è questione tutt'altro che pacifica (Cfr. G. VARRASO, Il
procedimento per gli illeciti amministrativi dipendenti da reato, Giuffrè, 2012, pp. 339 ss.)
521
Ibidem.
252
contrario in Italia la repressione della criminalità economica è ancora
debole522.
Ma perché negli Stati Uniti, la culla della responsabilità degli enti, si sta
tornando a rivalorizzare la sanzione nei confronti delle persone fisiche (bad
apples) a scapito di quella da applicarsi alla corporation?
Prima di tutto perché la legislazione post crack finanziari è in questo
senso. In particolare il Sarbanes Oxley Act prevede una pena detentiva fino a
venti anni di carcere per chi abbia ostacolato l'attività investigativa
distruggendo o comunque alterando dati, documenti o alti oggetti con l'intento
di pregiudicarne l'utilizzo in un procedimento amministrativo o giudiziario. La
pena è molto alta per essere un reato di agevole dimostrazione (crime of
obstruction of justice, lo stesso per cui fu condannata la Arthur Andersen,
ostacolando le indagini su Enron, di cui aveva certificato i bilanci, poi
rivelatisi falsi).
In secondo luogo nelle public company (molto diffuse in USA, mentre
abbiamo detto essere quasi del tutto assenti in Italia) il reato non viene
realizzato a principale beneficio della società o dei soci, è il management
(scollegato dalla proprietà) a beneficiarne più di altri523. Per questa ragione
522
Ibidem; l'Autore afferma: «perfino la condanna penale, anche quella passata in giudicato,
ha perso la sua naturale forza stigmatizzante: i reati commessi dai cd. colletti bianchi non
generano un effettivo danno reputazionale. Negli Stati Uniti - per loro fortuna - non è così» e
ancora «gli enti (italiani, n.d.r.) anche a fronte di condanne (magari non ancora passate in
giudicato), stentano a modificare, significativamente, la propria compliance»
523
Come abbiamo già osservato, in Italia le public company sono pressoché assenti. Le
piccole e medie imprese (oltre il 99% delle imprese italiane ha meno di 50 dipendenti) si
caratterizzano per la tendenziale sovrapposizione tra proprietà e controllo. La governance è
generalmente imperniata sull’imprenditore fondatore. All'imprenditore fondatore ed alla sua
famiglia appartiene di norma il capitale di rischio investito, compreso quello raccolto presso
le banche in quanto comunque garantito dall'imprenditore. Peraltro, questo sistema di
governance è tipico anche delle grandi imprese private che sono in mano ad un azionista di
riferimento. Si intuisce, che una struttura così congeniata difficilmente può prevedere che
l'illecito sia commesso senza il contributo del vertice della società e senza che vi sia
l'interesse della stessa società. FUSCO (ult. op. cit., p.125), è qui concorde con CENTONZE
(CENTONZE, La co-regolamentazione della criminalità di impresa, op. cit., p. 236)
nell'affermare che: «nell'impresa di stampo patronale i sistemi di compliance rischiano allora
di risultare inutili». L'ambito di elezione della “normativa 231” è allora unicamente quello
delle imprese che si siano date un modello manageriale. Ciò accade soprattutto nel settore
253
appare più logico nel sistema americano concentrare l'enforcement
sanzionando le condotte individuali.
Ancora, sul mutamento di rotta ha un peso anche il timore che la
responsabilizzazione
dell'ente
possa
condurre
ad
una
sorta
di
deresponsabilizzazione dell'autore del fatto (teoria condivisa anche dalla
dottrina italiana autorevole più conservatrice, come M. Romano).
Tornando al “sistema 231” italiano, le condotte post factum incidono
solo sul trattamento sanzionatorio: un impegno della società a cooperare,
anche portando a conoscenza dell'Autorità Giudiziaria l'illecito ed il suo
autore, non è richiesto per godere di benefici premiali. Una simile
cooperazione potrebbe essere valorizzata solo attraverso il patteggiamento,
che non potrà comunque cancellare in toto il processo, essendo utilizzabile per
ricercare, al più, un assestamento degli interessi che non sia unicamente
limitato alla commisurazione dell'entità della sanzione.
Volendo tirare le fila di questo discorso: In Italia, a quattordici anni
dall'entrata in vigore del d.lgs. 231/2001, chi scrive ritiene che siano maturi i
tempi per una riconsiderazione complessiva del sistema sanzionatorio in
materia di criminalità economica. Ma, anche negli Stati Uniti è opportuna
qualche riflessione: le internal investigations sono scarsamente garantite e le
esemplari pene inflitte alle bad apples non fanno sempre giustizia degli illeciti
commessi dai bad trees.
È chiaro che «c’è qualcosa che non funziona»524. Infatti, pare che:
«l'inefficacia del sistema repressivo italiano e le forzature del sistema
americano siano, entrambe, le due facce della stessa moneta con la quale
paghiamo la sopravvivenza di una governance societaria che mostra, ormai,
tutti i suoi limiti. È tempo, dunque, che gli studiosi del diritto commerciale si
impegnino nell'arduo compito di elaborare formule nuove»525.
bancario e finanziario e nelle società di ampie dimensioni in cui l'azionista pubblico ancora
svolge un importante ruolo di riferimento.
524
FUSCO, ult. op. cit., p.125.
525
Ibidem.
254
A conclusione di questo lavoro di studio comparato dell'evoluzione del
concetto giuridico di corporate criminal liability (e tenendo conto delle
«enormi differenze economiche, giuridiche e culturali»526 esistenti tra Italia e
Stati Uniti), chi scrive ritiene che, per quanto riguarda gli Stati Uniti, ci
troviamo senz'altro di fronte ad una “involuzione” del concetto di corporate
criminal liability, una sorta di passo indietro corrispondente al tratto
discendente della parabola, che si è utilizzato nel corso della trattazione per
figurare “il moto evolutivo” del concetto di responsabilità penale degli enti.
Non così sembra essere per il momento nell'ordinamento Italiano,
probabilmente solo per un fattore di “ritardo legislativo” e in quello Inglese,
ma in quest'ultimo solo per alcuni reati (corporate manslaughter e corruzione
societaria) 527. L'America, invece, sembra avviarsi verso quello che era stato il
target di partenza: l'individuo528. Se questo ritorno al diritto penale
526
CENTONZE, La co-regolamentazione della criminalità di impresa, op. cit., p. 231.
Fanno eccezione a questo passo indietro tutto americano (per il momento) rispetto al
concetto di corporate criminal liability: l'Italia per il ritardo (se paragonato agli ordinamenti
di common law) con cui ha emanato una normativa circa la responsabilità “amministrativa”
degli enti e il Regno Unito, che seppur limitatamente ad alcuni ambiti (come l'omicidio
societario e il reato di corruzione) si sta muovendo sempre più verso un rimprovero
personale all'ente, abbandonando il porto sicuro della responsabilità vicaria e la teoria
dell'immedesimazione organica ancora in uso per il resto dei reati (Cfr. Cap. I, § 2.1). D'altra
parte anche l'ordinamento inglese nel 2013 ha varato il Crime and Courts Act, il che
potrebbe far presagire un cambiamento di rotta, più affine al percorso statunitense: in questa
normativa (alla section 45, schedule 17) si prevede anche in UK una deferred prosecution,
ma solo per alcuni reati indicati dalla “part 2” della medesima section; si tratta di reati in
materia economica e finanziaria e tutti i reati strumentali ad essi (ancillary offences).
528
L.K. GRIFFIN, Compelled Cooperation and the New Corporate Criminal Procedure, in
82 New York University Law Review, 2007, p. 329 nota che l'aumento dei DPA coincide
con uno spostamento dei procedimenti penali dagli enti agli individui e conclude affermando
che: «corporations were using individual employees as currency to purchase corporate
deferral agreements»; Cfr. E.B. DISKANT, Comparative corporate criminal liability:
exploring the uniquely american doctrine through comparative criminal procedure, op. cit.
p. 168: «the criminal prosecution is meant to help prosecutors pursue individual defendants
- rather than to accurately address a corporation's criminal culpability (...)»; quest'ultimo
Autore sottolinea il paradosso a cui sono arrivati gli Stati Uniti: ottenere gli stessi risultati
della Germania, che non prevede un concetto di responsabilità penale degli enti (Cfr. Cap. I,
§ 1.5): «perhaps surprisingly, the American System begins to look remarkably similar to
German system: corporations face no criminal liability - only individual employees do»
(Ibidem, p. 171) e ancora: «the German and the American system both pursue relatively
similar ends, the jailing of individual wrongdoers rather than the corporations they work for,
through vastly different procedures» (Ibidem, p. 174).
527
255
tradizionale, focalizzato sull'individuo e in cui l'ente diventa solo uno
strumento (e finanziamento, tramite i DPA) per il processo ai manager e ai
singoli individui, sia o meno un fallimento del nascente diritto penale
societario come branca penale a sé529 o piuttosto una miglioria del diritto
penale tradizionale, ora più consapevole del controverso “soggetto ente
criminale” non è ancora pacifico; certamente il dibattito dottrinale, sempre più
ricco di spunti, ha aiutato a sviluppare nuove proposte legislative e un nuovo
approccio della corporate governance più sensibile al tema. E questo è già un
ottimo risultato. Si ricordano a riguardo anche i recentissimi studi circa
l'elaborazione di un concetto di corporate liability a livello europeo, che fanno
pensare che il tema è ancora caldo e del tutto modellabile530.
529
Si ricordi la teoria del quartum genus, sostenuta da parte della dottrina (DE SIMONE, DE
VERO). Si rinvia al Cap. I, § 3.
530
A. FIORELLA (cura di), Corporate Criminal Liability and Compliance Programs, vol. I,
Liability ex crimine of legal entities in member States, Jovene, 2013; A. FIORELLA (a cura
di), Corporate Criminal Liability and Compliance Programs, vol. II, Jovene, Towards a
Common Model in European Union, 2013.
256
III
L'ARTICOLO 24 BIS D.LGS. 8 GIUGNO 2001, N. 231:
REATI INFORMATICI E MODELLI ORGANIZZATIVI
§ 1 LA L. N. 48 DEL 2008 DI RATIFICA ALLA CONVENZIONE SUL
CYBERCRIME E INTRODUZIONE DELL’ ART. 24 BIS NEL D.LGS. 8
GIUGNO 2001, N.231.
§ 1.1 La normativa pregressa § 1.2 La Convenzione di Budapest § 1.3 La
legge 18 marzo 2008, n. 48 § 1.4 L'introduzione dell'art. 24 bis nel d.lgs.
231/2001: «le aziende non possono più ‘snobbare’ i reati informatici».
“Sappiamo di casi di spionaggio industriale come quando la Borland ha
accusato Symantec di rubare segreti commerciali, o la Cadence Design
Systems ha denunciato il furto del codice sorgente da parte di un concorrente.
Tanti uomini d'affari leggono questi articoli credendo che alla loro azienda
non potrebbe mai accadere. Invece succede ogni giorno”
K. D. Mitnick531
Il 23 novembre 2001 veniva firmata a Budapest la Convenzione sulla
criminalità informatica. Si tratta del primo trattato internazionale sulle
infrazioni penali commesse attraverso le reti informatiche, internet in primis, e
si occupa in modo specifico di violazioni dei diritti d’autore, frode
informatica, pornografia infantile e violazioni della sicurezza della rete.
Contiene inoltre una serie di misure e procedure da tradursi in best pratices532,
quali la perquisizione dei sistemi di reti informatiche e l’intercettazione dei
dati. L’obiettivo principale, enunciato nel preambolo, è perseguire una politica
531531
K. D. MITNICK - W. L. SIMON, L'arte dell'inganno. Consigli dell'hacker più famoso
del mondo, Feltrinelli, 2014, p. 222.
532
L’Oxford Dictionary le definisce come “Commercial or professional procedures that are
accepted or prescribed as being correct or most effective”. Si tratta di metodologie che
hanno dimostrato con regolarità scientifica di essere migliori rispetto ad altre tecniche
impiegate nel settore e usate come benchmark.
257
penale comune per la protezione contro la cyber criminalità, in special modo
adottando
legislazioni
appropriate
e
promuovendo
meccanismi
di
cooperazione internazionale. Prima di procedere con l’analisi della normativa,
e soprattutto della ratifica italiana delle stessa, è necessario delineare, pur se a
grandi linee, la situazione italiana fino al 2008.
§ 1.1 LA NORMATIVA PREGRESSA
Prima di dotarsi di una normativa organica, il legislatore aveva operato
principalmente in via settoriale, con alcuni interventi mirati:
Il decreto legge 21 marzo 1978, n. 59, convertito in legge 18 maggio
1978 n. 191, che estendeva l’area di punibilità dell’art. 420 c.p.533
menzionando espressamente, tra gli impianti di pubblica utilità, anche
“gli impianti di elaborazione di dati”;
La legge 1º aprile 1981 n. 121, sul “Nuovo ordinamento
dell’Amministrazione della Pubblica Sicurezza”, che introduceva il
delitto di comunicazione od uso, da parte del pubblico ufficiale, di dati
ed informazioni in violazione della disciplina o dei fini previsti dalla
normativa stessa;
La legge 26 gennaio 1983, n. 18, il cui art. 2, 7° comma, introdusse la
prima
fattispecie
penale
esplicitamente
incriminatrice
delle
Art. 420 c.p., rubricato attentato a impianti di pubblica utilità, così recita: “chiunque
commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito,
salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni”. Il
secondo e terzo comma sono stati poi abrogati dall’art. 6 della legge 18 marzo 2008, n. 48.
Questi ultimi recitavano: “La pena di cui al primo comma si applica anche a chi commette
un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica
utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti.
Se dal fatto deriva la distruzione o il danneggiamento dell’impianto o del sistema, dei dati,
delle informazioni o dei programmi ovvero l’interruzione anche parziale del funzionamento
dell’impianto o del sistema la pena è della reclusione da tre a otto anni.”
533
258
falsificazioni o manipolazioni informatiche, punendo, fra l’altro, anche
la “manomissione ed alterazione di apparecchi misuratori fiscali534”.
Tuttavia le sopra citate soluzioni non compensavano l’assenza di una
normativa organica e completa in materia, comportando non pochi problemi
giurisprudenziali per la concreta repressione dei reati. A fronte della necessità
di approntare un’adeguata tutela giuridica alle nuove forme di “aggressione
tecnologica”, si poneva infatti la questione dell’applicabilità in via estensiva e
soprattutto analogica delle norme penali preesistenti. I principi di legalità e
tassatività, infatti, correlati con il divieto dell’analogia in malam partem nel
diritto penale, rendevano molto difficoltosa, se non impossibile, l’applicazione
delle norme penali classiche a tali nuove fattispecie criminose. Se appariva
possibile ricondurre, pur con qualche sforzo, le condotte materialmente poste
in essere sull’hardware alle ipotesi classiche del danneggiamento, del furto, e
così via, lo stesso non poteva dirsi per l’incriminazione di condotte commesse
non sull’elaboratore ma attraverso l’elaboratore. Basti pensare alle truffe
realizzate attraverso il sistema informatico e in cui artifici e raggiri non sono
volti ad indurre un soggetto in errore, quanto ad incidere sul funzionamento di
una macchina535.
534
L. PICOTTI, I reati e gli illeciti amministrativi in materia di registratori di cassa, bilance
e terminali elettronici, in P.M. CORSO e L. STORTONI (a cura di), Giurisprudenza
sistematica di diritto penale. I reati in materia fiscale, Torino, 1990, 433 ss.
535
Numerosi erano gli esempi di “virtuosismi giuridici” che riconducevano ugualmente tali
condotte alle figure codicistiche classiche e si possono ritrovare in alcune assai risalenti
pronunce giurisprudenziali: ad esempio, Trib. Como, 21 settembre 1995, che ritenne
applicabili le norme relative al falso in atto pubblico ed alla tentata truffa ad alterazioni
dell’archivio informatico dell’I.N.P.S commesse prima dell’emanazione della legge in
esame. Oppure, ancor prima, Trib. Roma, 20 giugno 1984, Testa ed altri, che ritenne
applicabile l’art. 640 c.p. nel caso di immissione nell’elaboratore elettronico dell’I.N.P.S. di
dati non veritieri relativi a contributi in realtà non versati, ritenendosi, peraltro, che in tal
modo fossero ingannati i dipendenti preposti al controllo del versamento dei contributi e
all’esazione degli stessi, e non il computer. Venne altresì ravvisato il delitto di truffa
aggravata nel caso di un dipendente bancario che, inserendo falsi dati nell’elaboratore, aveva
ottenuto che risultassero come avvenuti per contanti versamenti effettuati mediante assegni,
al fine di occultare il maggior rischio assunto con la negoziazione di assegni, prima che ne
fosse stata confermata la copertura e per procurare il maggior lucro ai correntisti attraverso il
riconoscimento della valuta liquida (Trib. Roma, 14 dicembre 1985, Manenti ed altri).
259
Verso la fine degli anni ‘90, inoltre, alle problematiche sopra
menzionate si andavano aggiungendo altresì forti pressioni provenienti dal
contesto internazionale ed europeo. Se infatti diversi ordinamenti stranieri, in
autonomia, avevano proceduto a dotarsi di una normativa a riguardo536, nel
1989
era
intervenuto
anche
il
Consiglio
d’Europa
che
con
la
“Raccomandazione sulla criminalità informatica”537 aveva posto in risalto il
fatto che solo armonizzando le normative dei diversi Stati si sarebbe potuto
efficacemente contrastare un fenomeno, per definizione, sovranazionale e
transfrontaliero. Sulla questione numerosi esperti si erano pronunciati in
occasione di un convegno internazionale tenutosi a Roma dal 3 al 7 maggio
1993, dal titolo “Informatica e attività giudiziaria” 538. Molti degli intervenuti
posero l’accento sulla necessità che anche l’Italia si dotasse di una protezione
adeguata contro il fenomeno dei computer crimes. Ciò in considerazione delle
allarmanti stime in relazione alla percentuale di aziende vittime di atti di
criminalità informatica, compiuti anche mediante virus, su cui meglio si dirà
aliunde. Nel corso del dibattito si sottolineò altresì l'esigenza di un una sorta di
“attitudine al dubbio” in materia di sicurezza informatica, non per sfiducia
nella propria organizzazione o nella ingegneria di costruzione dei sistemi
hardware e software, bensì perché l’elemento critico è quasi sempre
rappresentato dall’uomo, con le sue distrazioni, le sue convinzioni, le sue
Su tutte si possono rammentare l’esperienza statunitense con il Counterfeit Access Device
and Computer Fraud and Abuse Act, del 1984, in seguito novellato e sostituito dal Computer
Fraud and Abuse Act del 1986 e quella del Regno Unito con il Computer Misure Act del 29
giugno 1990, così come ricostruito da V. FROSINI, in R.BORRUSO-G.BUONOMOG.CORASANITI-G.D’AIETTI (a cura di), Profili penali dell’informatica, Milano, 1994,
Introduzione, p. XV.
537
Council of Europe Recommandation Nº R (89) 9, in Riv. Trim. Dir. Pen. Econ., 1992,
378.
538
Corte Suprema di Cassazione, Centro Elettronico di Documentazione, “Informatica e
attività giuridica. Atti del 5° Congresso internazionale, Roma 3-7 maggio 1993”, Istituto
Poligrafico e Zecca dello Stato, a cura di O. FANELLI e E. GIANNANTONIO. I lavori del
convegno sono raccolti in G. FAGGIOLI, Computer crimes, Esselibri Simone, Napoli, 2002
536
260
superficialità e le sue opinioni che spesso lo portano a pensare che i crimini
informatici siano “cose che capitano solo agli altri”539.
In forza di queste spinte si convocò in Italia un'apposita commissione
composta da magistrati, accademici e tecnici con lo scopo di predisporre le
modifiche al codice penale necessarie al contrasto di queste nuove forme di
criminalità informatica. Come già indicato, gli sforzi della commissione si
concretizzarono nel primo tentativo di intervento omogeneo in Italia in tema di
criminalità informatica, operante tanto dal punto di vista sostanziale, che su
quello procedurale. Il legislatore italiano si mosse recependo le indicazioni
contenute nella raccomandazione R(89) del Consiglio d'Europa (adottata dal
Comitato dei Ministri il 18 gennaio 1989), la quale aveva suggerito alle
nazioni aderenti due diverse liste di reati da considerare ed eventualmente
introdurre nei rispettivi ordinamenti. Da un lato si indicava una “lista
minima”, consistente in fattispecie il cui inserimento era valutato come
indispensabile, vi era poi un differente novero di reati, una “lista facoltativa”,
il cui inserimento veniva qualificato come opzionale, in quanto fattispecie
ritenute non essenziali, ma opportune.
Trattandosi di ipotesi in cui non si era ancora registrata unità di vedute
sulle tecniche sanzionatorie adeguate, si suggeriva ai singoli Stati europei di
539
C. PEDRAZZI, Il documento informatico falso, in Informatica e attività giudiziaria; si
può anche segnalare sul punto il recente contributo di L. CAVIGLIONE, Understanding
Information Hiding in iOS, Computer, Vol. 1, 2015 per la c.d. “teoria del tubo di gomma”: in
crittologia si definisce metodo del tubo di gomma l'operazione che porta a decodificare un
codice cifrato attraverso la tortura e/o minaccia di uno dei conoscitori della chiave del
codice. Tale pratica consiste nel percuotere più volte con un tubo di gomma la pianta dei
piedi della vittima, fino ad ottenere l'informazione desiderata. L'espressione in esame è
utilizzata estensivamente per qualsiasi altro metodo che preveda l'uso di violenza fisica verso
la persona che possiede le informazioni volute. Tale metodo può paradossalmente risultare
più efficiente di molti altri metodi crittanalitici complessi, in quanto è cosa risaputa che nella
crittografia moderna, l'anello più debole è senza dubbio l'essere umano, non codici o
macchine (hardware e software che compongono il sistema di crittografia). Se ne deduce che
le procedure crittografiche più efficaci tentano di limitare al minimo l'intervento umano, per
esempio utilizzando algoritmi di generazione di chiavi pseudocausuali. A proposito del
fattore umano come anello debole della security chain, una voce autorevole scrisse: “People
often represent the weakest link in the security chain and are chronically responsible for the
failure of security systems”, B. SCHNEIER, Secrets & Lies. Digital Security in a Networked
World, John Wiley & Sons, 2000.
261
procedere, se non con l’introduzione ex novo di queste fattispecie, quantomeno
ampliando le eventuali fattispecie già presenti nei singoli ordinamenti. Come
accennato, quindi, il legislatore italiano da una parte incluse nuove tipologie di
illeciti, dall'altra aggiornò alcune fattispecie incriminatrici preesistenti,
affinché fossero idonee a ricomprendere le condotte tipiche dei delitti
informatici.
Più nel dettaglio, con la legge 547/1993540, in alcuni casi sono state
introdotte disposizioni ad hoc collocate nel tessuto normativo esistente, si
pensi all’articolo 615 ter c.p., rubricato “accesso abusivo ad un sistema
informatico o telematico”541. Diversamente, in altre ipotesi, è stata operata una
“dilatazione” delle condotte riferite a fattispecie già contemplate, attraverso
disposizioni definitorie. Va notato come il legislatore, pur predisponendo
nuove definizioni giuridiche, si sia però guardato bene dall’introdurre
definizioni di carattere
tecnico,
lasciando quindi
agli interpreti
e
all'ermeneutica del diritto il compito di individuare la portata di termini quali,
ad esempio, “sistema informatico o telematico”, “dati” o “programma”542.
La ratio di una tale “malleabilità” concettuale è desumibile dai lavori
preparatori: non si trattava, nell'intenzione del legislatore, di introdurre
fattispecie che tutelassero nuovi beni giuridici, bensì di introdurre delle tutele
contro nuove forme di aggressione, poste in essere cioè con modalità nuove, a
beni in larga parte già penalmente rilevanti e già oggetto di tutela in diverse
parti del codice. Il legislatore era quindi convinto che un autonomo titolo
dedicato ai delitti informatici non avrebbe trovato una giustificazione
sistematica.
540
Si tratta della legge 23 dicembre 1993, n. 547.
Si possono anche richiamare il danneggiamento di sistemi informatici o telematici,
previsto dall’art. 635 bis c.p. o, ancora, la frode informatica di cui all’art. 640 ter c.p.
542
In questo senso si veda G. PICA, Diritto penale delle tecnologie informatiche, Torino,
1999, p. 25.
541
262
Molta parte della dottrina si trovava in accordo con il legislatore 543 e
disconosceva la sussistenza di un minimo comune denominatore ai delitti
informatici, un per così dire “bene giuridico di categoria”, considerando tali
fattispecie troppo eterogenee tra loro. Tale dottrina manifestava il dubbio che
la creazione di una ennesima legge speciale, avrebbe finito per confinare la
materia in un settore non centrale dell’ordinamento544.
Al
contrario,
altrettanto
autorevole
dottrina,
individuava
nell'intangibilità informatica un possibile fil rouge comune sotteso ai delitti
informatici545 e sosteneva con forza la necessità di disciplinare la materia in
questione con una normativa autonoma, che riconoscesse, quindi, un nuovo
bene giuridico comune alle nuove fattispecie informatiche introdotte
nell'ordinamento. Alla base di questa convinzione vi era la consapevolezza che
543
E. GIANNANTONIO, L'oggetto giuridico dei reati informatici, in Cass. pen., 2001, pp.
2244 ss; F. R. FULVI, La Convenzione Cybercrime e l'unificazione del diritto penale
dell'informatica, in Dir. pen. proc. 2009, p. 639; F. BERGHELLA - R. BLAIOTTA, Diritto
penale dell'informatica e beni giuridici, in Cass. pen., 1995, pp. 2329 ss.
544
Si ricordano che oltre alla legge 547/93 in esame, vi erano stati altri interventi legislativi
concernenti specifici settori, sia prima che dopo suddetta normativa: legge 22 aprile 1941, n.
633, in tema di pirateria informatica (modificata dal d.lgs. 29 dicembre 1992, n. 518, in
seguito ulteriormente modificata e integrata dalla legge 18 agosto 2000, n.248); legge 31
dicembre 1996, n. 675, in tema di banche dati e privacy, seguita dal più recente Codice in
materia di protezione dei dati personali, ovvero il d.lgs. 30 giugno 2003, n. 196; la legge 3
agosto 1998, n. 269 per il contrasto ai fenomeni di detenzione, scambio e commercio di
materiale pedopornografico in rete, le cui fattispecie incriminatrici sono state poi estese ai
fenomeni di pornografia virtuale con la legge 6 febbraio 2006, n. 38. Come normativa
recente, di interesse penale processuale, si può evidenziare la legge 15 febbraio 2012, n. 12,
che al comma primo introduce una nuova ipotesi di confisca obbligatoria degli strumenti
informatici o telematici utilizzati per la commissione di reati informatici specifici, mentre al
comma secondo prevede che quanto confiscato sia destinato all'autorità giudiziaria, con
facoltà d'uso, salvo che vi ostino esigenze processuali. Infine l'ultimo comma destina agli
organi di polizia giudiziaria i beni informatici o telematici confiscati, quando utilizzati per la
commissione dei delitti di cui agli articoli 600 e seguenti del codice penale.
545
V. MILITELLO, Esigenze di tutela e trattamento elettronico delle informazioni, in
AA.VV., Verso un nuovo codice penale, Milano, 1993, p.479; ID., Nuove esigenze di tutela
penale e trattamento elettronico delle informazioni, in Riv. trim. dir. pen. econ., 1992, pp.
364 ss. L'Autore in particolare sostiene chiaramente l'impossibilità di ricondurre
l'informatica a beni giuridici che già trovano un'esplicita tutela in Costituzione. Sulla tutela
costituzionale del bene giuridico informatico si veda C.DI LELLO, Internet e Costituzione:
garanzia del mezzo e i suoi limiti, in Dir. inf., 2007, pp. 895 ss; F.R. FULVI, La
Convenzione Cybercrime e l'unificazione del diritto penale dell'informatica, in Dir. pen.
proc., 2009, pp. 642 ss. che ravvisa il bene giuridico tutelato dai reati informatici nella
affidabilità e nella sicurezza del ricorso alla tecnologia informatica, telematica e cibernetica.
263
le novità introdotte dal rapidissimo sviluppo tecnologico non avrebbero
trovato una disciplina adeguata in norme penali proprie di altre e già superate
realtà546.
Con questo modus operandi, la legge 547/1993 finisce per rispondere
alla sola esigenza di non costringere la giurisprudenza ad un intervento di
supplenza, che sarebbe assai delicato dal punto di vista del rispetto del
principio di legalità e dei suoi corollari di tassatività, indeterminatezza e
divieto di analogia, operanti nel diritto penale. Il risultato che ne è conseguito
è un fallimento dal punto di vista dell'organicità della legge, che avrebbe
dovuto riordinare una materia, rimasta invece ancora senza un disegno
sistematico di fondo547.
Operando una sintesi su quello che è il contenuto della legge 547/93,
vanno segnalati quattro principali filoni di intervento.
Il primo attiene alle aggressioni alla riservatezza dei dati e delle
comunicazioni
informatiche.
In
particolare,
si
è
provveduto
alla
incriminazione dell’accesso abusivo ad un sistema informatico o telematico
(art. 615 ter c.p.), nonché ad assicurare la repressione dei fatti di detenzione e
diffusione abusiva dei codici di accesso a sistemi informatici (art. 615 quater
c.p.), ritenute condotte pericolose per il bene protetto, in quanto propedeutiche
alla realizzazione del reato di accesso abusivo. Finalizzata alla tutela della
riservatezza di dati e programmi è anche l’estensione dell’ambito di
Specifico sul punto, si segnala A. MONTI, Computer crimes, un’occasione perduta,
1995. Concorde sulla necessità di compendiare i delitti informatici in un titolo ad hoc del
codice penale L. PICOTTI, Sistematica dei reati informatici, tecniche di formulazione
legislativa e beni giuridici tutelati, in L. PICOTTI (a cura di), Il diritto penale
dell'informatica nell'epoca di internet, Trento, 2004, p. 22.
547
Per l'iter parlamentare di approvazione della legge 547/1993, che aiuta a capire le evidenti
problematiche di sistematicità,si veda C. SARZANA DI S. IPPOLITO, Informatica, internet
e diritto penale, Milano, 2010, pp. 183 ss.; ancora sulla constatata disorganicità della legge
in esame si veda L. PICOTTI, Internet e diritto penale: il quadro attuale alla luce
dell'armonizzazione internazionale, in Dir. Internet, 2005, p. 189, nonché F. RESTA,
Cybercrime e cooperazione internazionale nell'ultima legge della legislatura, in Giur. mer.,
2008, p. 2149
546
264
operatività della norma sulla rivelazione del contenuto di documenti segreti,
che ricomprende, tra i documenti segreti tutelati, anche quelli contenuti in un
supporto informatico (art. 621 c.p.).
In secondo luogo vi sono le aggressioni all’integrità dei dati e dei
sistemi informatici. Le disposizioni contenute nella legge 547/93 in materia
sono volte, in parte, ad integrare la tutela predisposta dalle fattispecie
tradizionali (635 bis c.p.)548, in altra parte a sanzionare condotte del tutto
nuove, come la diffusione dei virus549.
Vanno poi segnalati gli interventi in tema di falso con cui il legislatore
inserendo l'art. 491 bis c.p. ha esteso l’applicabilità delle disposizioni sulla
falsità in atti concernenti gli atti pubblici e le scritture private ai documenti
informatici pubblici o privati.
Infine, la legge in esame è intervenuta in tema di frodi informatiche.
Esse si distinguono dalle frodi tradizionali per il fatto di essere poste in essere
per il tramite di uno “strumento informatico”, e quindi senza induzione in
errore di un essere umano550. Un esempio è fornito dalle manipolazioni di dati,
attraverso
cui
è
possibile
procurarsi
profitti
illeciti
interferendo
nell’elaborazione di dati economico-finanziari di un’azienda. Per contrastare
questa forma di illecito è stata inserita nel codice penale una nuova figura di
Si pensi all’art. 635 bis che affianca, alla figura tradizionale del danneggiamento, quella
di nuovo conio, del danneggiamento di sistemi informatici o telematici.
549
La cui prima applicazione avverrà, qualche anno dopo, con il noto caso “Vierika” (Trib.
Pen. Bologna, I Sez., 21 luglio 2005), primo caso italiano di condanna di un soggetto per
aver creato un virus.
550
Alcuni autori sostenevano che l’induzione in errore della macchina (anziché dell’essere
umano) fosse solo un “sofisma ad effetto” giacché il computer agisce per il tramite di un
software e quest’ultimo, a sua volta, non è che la proiezione della volontà dell’uomo, sicché
alterare il software o interagire maliziosamente con esso profittando di determinati suoi bugs
sarebbe stato come trarre in inganno l’uomo stesso che lo usa, il quale non ha ragione di
sospettare il tiro mancino giocatogli e pertanto in tal senso viene tratto in errore. Così R.
BORRUSO in R.BORRUSO-G.BUONOMO-G.CORASANITI-G.D’AIETTI (a cura di),
Profili penali dell’informatica, Milano, 1994, Introduzione, p. 35.
548
265
reato, la frode informatica appunto, “liberamente ispirata”551 alla fattispecie
tradizionale di truffa e collocata subito in coda a tale reato, all’art. 640 ter c.p .
A seguito dell’introduzione del citato plesso normativo, si è registrato, a
tratti, un legislatore silente, sullo sfondo di un incessante sviluppo tecnologico
ed un'inevitabile vasta diffusione delle tecnologie informatiche anche sul
territorio italiano. Negli anni successivi alla legge 547/1993, risultano,
tuttavia, alcuni interventi in materia informatica degni di nota. Si rammenta in
primo luogo la legge 3 agosto 1998, n. 269. “Norme contro lo sfruttamento
della prostituzione, della pornografia, del turismo sessuale in danno ai
minori, quali nuove forme di riduzione in schiavitù”, che è stata in seguito
modificata dalla legge 2 marzo 2006, n. 38 il cui obiettivo è la tutela dei
minori dallo sfruttamento sessuale e dalla pedopornografia on line.
Una seconda normativa da segnalare è data dalla legge 18 Agosto 2000,
n. 248, specifica in tema di diritto d’autore. Si registrava, infatti, una vera e
propria crisi dei concetti tradizionali vigenti in questo specifico settore a causa
dello sviluppo delle tecnologie in grado di aggredire il bene giuridico tutelato.
Un sempre maggior rilievo altresì acquisivano, tra le opere di ingegno, i
software, ovverosia i programmi per elaboratore elettronico. La disciplina
originale, contenuta nella risalente legge 22 aprile 1941, n. 633 sul “Diritto
d’autore” (poi novellata dal d.lgs. 29 dicembre 1992, n. 518), è rimasta carente
sul punto sino al 2000, anno di entrata in vigore della legge 18 agosto 2000,
n.248, con cui si è tentato di garantire una tutela specifica e al passo con i
tempi. Di fatto, con quest'ultimo intervento legislativo, è stata introdotta una
normativa più efficace, volta a tutelare le opere di ingegno dal fenomeno,
prima nemmeno ipotizzato, della pirateria informatica. A tal fine, come
affermato anche dalla giurisprudenza552, si è identificato l’elemento cardine
551
Si vedrà in seguito che in realtà la frode informatica presenta caratteri molto differenti
dalla classica fattispecie di truffa, Cfr. § 3.2.1.
552
Sul punto si segnala Cass. Civ., Sez. I, 581/07.
266
nella originalità e creatività dell’opera, affinché l’organizzazione delle nozioni
e dei dati potesse considerarsi come personale ed autonoma, fruendo di
elementi da reputarsi compresi nel patrimonio degli addetti ai lavori. Una
simile interpretazione ha raggiunto lo scopo di equiparare, grazie alle
modifiche e alle integrazioni apportate all’originario intervento normativo sul
diritto d’autore, un software ad un’opera letteraria in tutto e per tutto. Questo
ha comportato, ovviamente, che come le opere letterarie previste dal
legislatore del ‘41, anche i più recenti software venissero adeguatamente
tutelati in sede penale. Si era infatti introdotta la sanzione penale per chiunque
abusivamente duplicasse, per trarne profitto, programmi per elaboratore.
Importante segnalare che nel concetto di profitto qui richiamato rientra non
solo l’utilità economica conseguente all’illecita rivendita del programma, ma
anche il mero risparmio di spesa del soggetto che, grazie alla duplicazione,
non acquista il software originale. La tutela fornita ai programmi è a
tuttotondo, generando conseguenze non solo penali, ma anche civili553: la
responsabilità è civilmente della persona fisica o giuridica che materialmente
copia o distribuisce il programma in modo illecito, risponderà poi anche
penalmente il responsabile legale di tale persona giuridica. Risulta quindi
essenziale gestire in maniera adeguata e lecita i sistemi informatici
dell’organization.
§ 1.2 LA CONVENZIONE DI BUDAPEST
Alla luce di quanto sopra appare evidente come fosse necessario poter
contare, a livello internazionale, se non sulla certezza dell’eguale trattamento
delle medesime condotte criminali tra i vari Stati, quantomeno sul reciproco
553
Il titolare del software può richiedere il risarcimento dei danni (sia danno emergente, sia
lucro cessante) derivanti dalla violazione del proprio diritto di sfruttamento commerciale
dell’opera.
267
riconoscimento della rilevanza penale di un nucleo di condotte di maggior
allarme e pericolosità.
Fu proprio questo lo spirito che diede origine alla Convenzione di
Budapest del 23 novembre 2001.
Il Consiglio d’Europa, consapevole della rilevanza transnazionale delle
condotte di criminalità informatica, aveva cercato di suggerire agli Stati
membri alcuni principi cui ispirarsi nella disciplina sanzionatoria del
fenomeno del cybercrime, cosicché le problematiche penalistiche legate allo
sviluppo di internet e delle connessioni telematiche venissero regolamentate in
maniera tendenzialmente uniforme nei vari ordinamenti nazionali554.
Secondo la dottrina, «l’obiettivo primario della Convenzione sulla criminalità
informatica risiede[va] nell’esigenza di introdurre un minimum target di tutela
dei beni giuridici offesi dai cybercrimes ed un livello minimo essenziale
comune di strategie di contrasto a tali illeciti, soprattutto in ragione della loro
natura tendenzialmente trans-nazionale, che comporta chiaramente la necessità
dell’armonizzazione della relativa normativa di contrasto nell’ambito dei vari
ordinamenti»555. Di conseguenza, il Consiglio d’Europa ritenne che fosse
imprescindibile, al fine di ottenere una effettiva integrazione dei diversi
ordinamenti europei in materia, predisporre una grundnorm contente alcune
condizioni e diversi presupposti concettuali di base. Questa esigenza si
concretizzò nelle disposizioni della Convenzione di Budapest.
In primo luogo essa contiene una serie di modelli di incriminazione
uniformi diretti a realizzare un livello di tutela penale, per i beni giuridici
aggrediti dalle condotte di criminalità informatica, il più omogeneo possibile.
554
Come ben riassunto da C. SANTORIELLO, I reati informatici dopo le modifiche
apportate dalla legge 48/2008 e la responsabilità degli enti, in La responsabilità
amministrativa delle società e degli enti, n.1, 2011, pp. 211ss.
555
Così F. RESTA, Cybercrime e cooperazione internazionale nell'ultima legge della
legislatura, in Corr. Merito 2008, pp. 2159. Sulle finalità della convenzione Cfr. SARZANA
DI S. IPPOLITO, La Convenzione europea sulla cyber criminalità, in Dir. Pen. Proc., 2002,
pp. 806 ss.; L. PICOTTI, Internet e diritto penale: il quadro attuale alla luce
dell’armonizzazione internazionale, in Dir. Internet, 2005, pp. 189 ss.; C. PARODI - A.
CALICE, Responsabilità penali ed Internet, Milano 2001, pp. 167 ss.
268
Tale scelta è dettata sia dallo scopo di impedire che in sede di cooperazione
internazionale possa venire meno il principio della “doppia incriminazione”556
, sia per consentire l’applicazione della Convenzione non solo ai crimini
informatici, ma anche, più genericamente, a tutte le fattispecie commesse
attraverso un sistema informatico o per le quali vi siano prove in formato
elettronico.
In secondo luogo, nell’atto pattizio viene individuata e suggerita la
definizione di un adeguato sistema di collaborazione fra gli organismi
nazionali e sopranazionali, estremamente importante per fronteggiare minacce
spesso “immateriali” come quelle relative ai crimini informatici557.
Per realizzare i suddetti obiettivi, la Convenzione, dopo aver individuato nella
sicurezza informatica il bene giuridico558 da tutelare con la normativa in
oggetto, onde incrementare la fiducia nel cyberspazio quale fertile terreno per
556
Il quale, ai fini della cooperazione giudiziaria tra diversi Stati, presuppone che un fatto di
reato sia punibile in concreto sia nello stato richiedente, sia in quello concedente una
eventuale estradizione.
557
Sul punto si segnalano l’art. 14 e, soprattutto, 23 della Convenzione che così recita: “Le
parti devono cooperare tra loro nella misura più ampia possibile nelle indagini o nei
procedimenti riguardanti i reati collegati a sistemi e dati informatici, o per raccogliere le
prove, in forma elettronica, di un reato, in conformità alle disposizioni di questo capitolo e
in applicazione degli strumenti internazionali sulla cooperazione internazionale in materia
penale, degli accordi stipulati sulla base di una legislazione uniforme o in condizione di
reciprocità e del loro diritto nazionale”.
558
In generale, sull'identificazione del bene giuridico tutelato dal diritto penale informatico,
la dottrina afferma che «l'informatica e la telematica sono discipline scientifiche, in cui vi è
l'impossibilità di delineare un bene giuridico tutelabile che sia ad esse direttamente
riconducibile. Più correttamente dovremmo parlare di un collegamento tra le suddette
discipline ed i beni dell'ordinamento già considerati meritevoli di tutela, per i quali devono
semplicemente essere introdotte, ove necessario, nuove fattispecie di reato alle quali non sia
applicabile la norma penale neppure mediante una lettura estensiva, in chiave tecnologica,
della sua portata» d'altra parte, precisa come «Internet ha segnato la nascita di un nuovo
interesse degno di tutela, che potremmo definire come bene giuridico informatico, nozione
ampia ed eterogenea che ricomprende qualunque “oggetto”, anche immateriale,
giuridicamente rilevante nella sua dimensione tradizionale, suscettibile però di
digitalizzazione, cioè transitabile nella Rete (come ad es. le opere grafiche o letterarie diffuse
abusivamente tramite Internet) oppure di lesione digitale, cioè di offesa diretta tramite la
tecnologia informatica (come nel caso di una lesione all'onore e al decoro di un soggetto, a
seguito di una condotta diffamatoria realizzata “a mezzo Internet”» Così, F. BOEZIO - G.
BRUSTIA, I crimini informatici, in S. DI GUARDO - P. MAGGIOLINI - N.
PATRIGNANI, Etica e responsabilità sociale delle tecnologie dell'informazione, Vol. I,
Franco Angeli, 2010, pp. 261-310.
269
uno sviluppo economico, civile e culturale, ha proceduto ad una serie di
definizioni terminologiche, così da armonizzare, favorendo l'uniformità
interpretativa, le nozioni di “sistemi informatici”, “dati informatici”, “fornitori
di servizi” e “dati relativi al traffico559”.
La prima definizione, quella di sistema informatico, risolve un dibattito
esistente da anni560, statuendo che: “computer system means any device or a
group of interconnected or related devices, one or more of which, pursuant to
a program, performs automatic processing of data”. Si identifica quindi come
sistema informatico “qualsiasi apparecchiatura, dispositivo, gruppo di
apparecchiature o dispositivi, interconnesse o collegate, una o più delle quali,
in base ad un programma, eseguono l’elaborazione automatica di dati”561. Si
tratta di una definizione molto generale e ben strutturata, soprattutto per la sua
ampia malleabilità ed adattabilità anche alla tecnologie future. Permette infatti
di includere qualsiasi strumento elettronico, informatico o telematico, in rete o
in grado di lavorare in completa autonomia. In questa definizione rientrano
anche i dispositivi elettronici che, al giorno d’oggi, sono tutti dotati di un
software (o anche solo di un firmware562) che permette il loro funzionamento
elaborando delle informazioni o comandi.
Ne discende, ad esempio, che in questa definizione è possibile inserire come
dispositivo tutelato dalla legge un telefono cellulare, un tablet e al tempo
559
Tutte definizioni di cui all'art. 1 della Convenzione di Budapest.
Come sottolineato dall'esperto di informatica forense operativo tra il foro di Milano e
quello di Torino, nonché autore e coautore di molti scritti e relatore in numerose conferenze
sull'art. 24 bis G. DEZZANI. Nello specifico, circa le definizioni di cui all'art. 1 della
Convenzione di Budapest si veda G. DEZZANI, Una nuova ipotesi reato degli enti
collettivi: la criminalità informatica, in La responsabilità amministrativa delle società e degli
enti, n. 3, 2008, pp. 71 ss.
561
Le traduzioni italiane delle definizioni di cui all'articolo 1 della Convezione di Budapest,
come di tutto il resto della Convenzione, si ricavano dalla legge italiana di ratifica di questa
ovvero la legge 18 marzo 2008, n.48, di cui si dirà più in dettaglio infra.
562
Trattasi di un programma, inteso come sequenza di istruzioni, integrato direttamente in un
componente elettronico nel senso più vasto del termine (integrati, schede elettroniche,
periferiche). Lo scopo del programma è quello di avviare il componente stesso e consentirgli
di interagire con altri componenti tramite l’implementazione di protocolli di comunicazione
o interfacce di programmazione. È paragonabile al concetto di sistema operativo per un
elaboratore elettronico.
560
270
stesso un dispositivo elettronico inserito in un impianto per la produzione
industriale.
Si passa poi alla definizione di “dato informatico”. In questo caso si
descrive il concetto derivandolo dall’uso: “computer data means any
representation of facts, information or concepts in a form suitable for
processing in a computer system, including a program suitable to cause a
computer system to perform a function”. Ciò quindi sta a significare:
“qualunque rappresentazione di fatti, informazioni o concetti in forma idonea
per l’elaborazione con un sistema informatico, incluso un programma in
grado di consentire ad un sistema informatico di svolgere una funzione”. In
questo caso la definizione contiene due elementi, il dato in senso stretto ed i
programmi. Entrambi sono memorizzati in forma digitale di byte all’interno di
files, ma possiedono due funzioni ben distinte. I primi sono i dati dell’utente
che vengono generati e salvati attraverso l’uso di un applicativo. I programmi
si identificano invece con il software. In questa definizione, nuovamente
volutamente ampia, rientrano anche i sistemi operativi, i driver, i firmware
ovvero tutti quei programmi, anche di base, presenti su un elaboratore o
apparato elettronico e necessari al funzionamento. La differenza tra i files di
dati (o informazioni) ed i programmi (o software) è che i primi sono la
rappresentazione digitale di un documento (testo, immagine, archivio, ecc.)
realizzato attraverso l’uso di un programma o software. Inoltre, normalmente
ogni documento è contenuto in un singolo file. Il programma invece è un
insieme di files, che vengono richiamati gli uni dagli altri a seconda di
comandi impartiti dall’utente, contenenti algoritmi in grado di eseguire
funzioni.
In definitiva, i dati, i programmi e le informazioni sono le unità informatiche
volatili o immateriali, contenute all'interno di un sistema informatico o
telematico, quest'ultimo è invece un apparato in grado di svolgere funzioni di
elaborazione in modo autonomo. Per visualizzarne in modo schematico la
struttura, potremmo dire che il sistema informatico è un dispositivo hardware
271
che “contiene” uno o più programmi, tra cui obbligatoriamente un sistema
operativo, con cui si possono gestire i dati.
Esplicate queste espressioni generali definitorie si può certo comprende
meglio la ratio del diverso trattamento sanzionatorio: colpire un dato
informatico non significa impedire il funzionamento del sistema, colpire
quest’ultimo significa invece impedire l’uso dell’intera struttura e di quanto in
essa memorizzato. Di conseguenza deriva la necessità di differenziare, negli
articoli del codice penale, gli illeciti che hanno come oggetto la struttura
hardware rispetto a quelli relativi ai file (che siano questi contenitori di dati o
di programmi) e graduare la risposta sanzionatoria.
L’art. 1 della Convenzione prosegue poi esplicando altre due
fondamentali definizioni.
Si identifica il “prestatore di servizi” come qualsiasi soggetto pubblico
o privato che fornisce agli utenti del suo servizio la capacità di comunicare per
mezzo di un sistema informatico, nonché qualunque altro soggetto che, per
conto di un primo prestatore di servizi, provvede alla memorizzazione dei dati
inerenti le suddette comunicazioni.
Infine, con l’espressione “dati relativi al traffico”, si fa riferimento ai
dati, inerenti l’origine, la destinazione, il percorso, l’ora, la data, la
dimensione, la durata ed il tipo di servizio, relativi ad una comunicazione
realizzata per mezzo di un sistema informatico e generata dallo stesso sistema
informatico563.
Fornite tali fondamentali indicazioni di carattere generale, i successivi articoli
della Convenzione suggeriscono l’introduzione, nei vari ordinamenti statuali,
di misure legislative atte a sanzionare talune condotte tipiche di aggressione ai
Più nel dettaglio il testo della Convezione recita: “service provider” (fornitore di servizi),
indica: 1. qualunque entità pubblica o privata che fornisce agli utenti dei propri servizi la
possibilità di comunicare attraverso un sistema informatico; 2. qualunque altra entità che
processa o archivia dati informatici per conto di tale servizio di comunicazione o per utenti
di tale servizio. La “trasmissione di dati” indica qualsiasi informazione computerizzata
relativa ad una comunicazione attraverso un sistema informatico che costituisce una parte
nella catena di comunicazione, indicando l’origine della comunicazione, la destinazione, il
percorso, il tempo, la data, la grandezza, la durata o il tipo del servizio.
563
272
sistemi informatici, come ad esempio le fattispecie di accesso abusivo,
intercettazione illegale, attentato all’integrità dei dati e dei sistemi, abuso di
apparecchiature, falsificazione informatica, pornografia infantile e di
violazione della proprietà intellettuale564.
Coerentemente a quella che è una tendenza ormai in corso di
consolidamento nell’ambito dei sistemi penali del mondo occidentale, la
Convenzione ha suggerito agli Stati nazionali di prevedere anche una forma di
responsabilità delle persone giuridiche allorquando i delitti informatici siano
commessi da persone fisiche nell’intento di soddisfare un interesse o far
perseguire un vantaggio all’ente collettivo cui appartengono o di cui sono
dipendenti565.
Ulteriori indicazioni vengono poi fornite in relazione alle indagini che
sono necessarie per un’effettiva repressione dei cybercrimes, su un piano più
squisitamente processuale. Si richiede che gli Stati membri, acquisita la prova
della commissione degli illeciti predetti, provvedano ad assumere misure
idonee a garantire la conservazione dei dati informatici (facilmente soggetti a
modificazione) ed al mantenimento dell’integrità delle informazioni per il
tempo necessario all’individuazione dei colpevoli ed all’accertamento
processuale della loro responsabilità. La Convenzione introduce anche regole
uniformi per ciò che attiene a perquisizione, sequestro ed accesso a sistemi,
dati e supporti informatici, nonché circa la raccolta e registrazione in tempo
reale dei dati relativi al traffico, intercettazione e registrazione di
comunicazioni telematiche566.
564
Si richiamano gli artt. 2 (Accesso illegale ad un sistema informatico); 3 (Intercettazione
abusiva); 4 (Attentato all’integrità dei dati); 5 (Attentato all’integrità di in un sistema); 6
(Abuso di apparecchiature); 7 (Falsificazione informatica); 8 (Frode informatica); 9 (Reati
relativi alla pornografia infantile) e 10 (Reati contro la proprietà intellettuale e diritti
collegati) della Convenzione in esame.
565
Di questo meglio si dirà in seguito, in relazione ai modelli di organizzazione che gli enti
sono invitati ad implementare al fine di minimizzare il rischio di reati informatici, si veda
infra § 3.3.
566
Si vedano gli articoli 19, 20, 21 della Convenzione di Budapest.
273
Particolare importanza riveste poi la disciplina, dettata dall’art. 22, in materia
di giurisdizione. Infatti, al fine di delimitare l’area delle fattispecie non
punibili a causa dell’ontologica delocalizzazione del crimine informatico 567, il
citato art. 22 prevede che per i reati indicati dalla Convenzione ogni
ordinamento debba perseguire penalmente le condotte commesse nel territorio
di ciascuno Stato aderente alla Convenzione medesima, anche quando siano
state poste in essere da un cittadino straniero, qualora l’infrazione risulti
penalmente punibile laddove è stata commessa o se l’infrazione non rientra
nella competenza territoriale di alcuno Stato. In questo modo il carattere
transfrontaliero dei reati informatici non gioca più a sfavore delle forze
dell’ordine, al contrario ne permette una più proficua collaborazione. Si crea
inoltre uno spazio giudiziario comune in base al qual, quando più Stati
rivendicano la propria competenza, le diverse autorità statuali provvederanno
ad una consultazione al fine di stabile il modo più appropriato per esercitare
l’azione penale.
Quanto alla collaborazione fra gli Stati per lo svolgimento delle
indagini in materia di crimini informatici, è previsto che le autorità statuali
cooperino fra loro nella misura più ampia possibile nello svolgimento delle
relative investigazioni. Onde rendere più celere lo svolgimento di tali indagini,
la richiesta di mutua assistenza può essere formulata, in casi di urgenza, anche
mediante mezzi di comunicazione come fax e posta elettronica, purché siano
assicurate appropriate garanzie di sicurezza e segua poi la conferma ufficiale
se lo Stato richiesto la ritiene necessaria.
Viene poi contemplata una vasta gamma di misure provvisorie
finalizzate alla celere esecuzione di tutte le attività di indagine, come
l’archiviazione rapida di dati informatici, potendo ciascuno Stato, ancora
prima di inoltrare una rogatoria finalizzata ad eseguire una perquisizione o un
sequestro, porre in essere una serie di misure. Nel dettaglio, uno Stato può
567
Come ricordato da L. CUOMO - R. RAZZANTE, La nuova disciplina dei reati
informatici, Giappichelli, Torino 2009, p. 18.
274
ottenere la misura provvisoria della conservazione dei dati informatici
immagazzinati all’interno di un sistema informatico ubicato all’estero, la
divulgazione tempestiva dei dati di traffico, la perquisizione o l’accesso a
sistemi informatici, il sequestro e la conservazione in tempo reale dei dati
telematici, nonché le intercettazioni del contenuto di comunicazioni trasmesse
attraverso l’uso di elaboratori elettronici.
§ 1.3 LA LEGGE 18 MARZO 2008, N. 48
A seguito della Convenzione la risposta del legislatore italiano non fu rapida.
Trascorsero infatti diversi anni prima che il testo venisse ratificato e ciò
avvenne con la legge 18 marzo 2008, n. 48. Tale normativa è intervenuta su
diversi fronti apportando modifiche al Codice penale, al Codice di procedura
penale, al d.lgs. 231/2001 e al c.d. Codice della Privacy.
Con particolare riferimento al diritto penale sostanziale, sono state operate
integrazioni e modifiche ad alcune disposizioni presenti nel Codice penale,
che hanno introdotto innovazioni rilevanti, in grado di riscrivere la previgente
disciplina. La riforma delle fattispecie criminose ha riguardato nello specifico:
i reati di falso informatico;
il danneggiamento informatico e la frode informatica;
l’introduzione di una nuova figura di truffa, ad opera del certificatore di
firma elettronica;
l’ampliamento, ai fini penali, della nozione di pornografia infantile.
Le modifiche relative al diritto penale processuale, invece, hanno inciso sul
Codice di rito con riferimento sia ai mezzi di ricerca della prova che alle
indagini di polizia giudiziaria. L’opera di integrazione è avvenuta indicando
specifiche modalità nell’esecuzione di ispezioni, perquisizioni e sequestri, in
modo da garantire l’utilizzabilità delle prove raccolte.
275
Riservando ai paragrafi seguenti un'analisi più dettagliata circa i punti
riguardanti le modifiche al d.lgs. 231/2001 (art. 7, legge 48/2008)568, basti dire
in questa sede che la legge di ratifica della Convenzione di Budapest agisce sia
sul versante sostanziale che su quello processuale.
Riguardo al primo profilo, che più interessa ai nostri fini, all'art. 3 si
modifica il testo dell'art. 491 bis569 c.p., rubricato “documenti informatici” e
facente parte del libro II, titolo VII (Delitti contro la fede pubblica) inserito al
capo III (Falsità in atti) del codice penale. Tale disposizione fu introdotta dalla
legge 547/199, per sanzionare le condotte di falsificazione relative a un
“documento informatico”, sia pubblico che privato570. Tuttavia, ormai, la
disposizione di cui al 491 bis c.p. necessitava di essere rivista sotto diversi
aspetti sostanziali, date le ambiguità che la caratterizzavano, a cominciare
dalla definizione di documento informatico a cui faceva riferimento. Nella sua
formulazione originaria la norma in esame forniva una definizione
anacronistica di “documento informatico”, inteso come “qualunque supporto
informatico contenente dati o informazioni avente efficacia probatoria o
programmi specificamente destinati ad elaborarli”571. Se in passato questa
definizione poteva considerarsi sufficiente, ora il riferimento al supporto
cominciava a creare delle problematiche interpretative di non poco conto. In
seguito vennero formulate alcune critiche da parte della dottrina, che in primo
568
Si veda infra § 3.1.5
Il testo dell'art. 491 bis c.p. come formulato origine dalla legge 547/93 recitava:
“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico
pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente
gli atti pubblici e le scritture private.
A tal fine per documento informatico si intende qualunque supporto informatico contenente
dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad
elaborarli”.
L'attuale articolo 491 bis c.p. così recita:
“Se alcuna delle falsità previste dal presente capo riguarda un documento informatico
pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso
concernenti rispettivamente gli atti pubblici e le scritture private”.
570
Sul punto si richiama, oltre a quanto detto al §3.1.1, anche R. CAUTERUCCIO, I nuovi
reati contro la fede pubblica: il falso in documento informatico pubblico e privato, in Riv.
Pen., 2007, pp. 965 ss.
571
Tale definizione era riportata nel secondo periodo dell'art. 491 bis c.p., poi è stata
appunto abrogata dall'art. 3 comma 1 lett. b) della legge 48/2008.
569
276
luogo sottolineò che tale definizione, ricalcando la definizione civilistica di
documento572 e assumendo come criterio definitorio l'incorporazione
materiale573, non era adatta al documento informatico. Si osservava che la
«tutela penalistica sarebbe dovuta andare oltre il supporto fisico e avrebbe
dovuto proteggere il dato informatico in se stesso contro le falsificazioni», in
quanto la caratteristica essenziale del documento informatico è rappresentata
dalla naturale scindibilità dell'informazione dal supporto che la veicola574.
L’intervento di modifica della legge 48/2008 sul 491 bis c.p. ha quindi
opportunamente eliminato la necessaria sussistenza di un supporto materiale,
rinviando alla nuova definizione contenuta nel Codice dell’amministrazione
digitale575(cd. CAD), dove il documento informatico è definito come “la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” e da
ultimo ha affiancato a tale definizione le parole “avente efficacia probatoria”.
In seguito a questo cambio di definizione di riferimento circa il documento
informatico, ne consegue che anche il riferimento ai programmi, che era
572
Nel nostro ordinamento non si trova una definizione del concetto di documento, in quanto
il legislatore ha sempre dato attenzione non al documento in se stesso, ma alla rilevanza che
da esso si ricava sul piano probatorio (infatti i documenti dell'atto pubblico , art. 2999 c.c., e
della scrittura privata, art. 2702 c.c., trovano collocazione alla voce “prova documentale”del
codice civile). Mancando un esplicito riferimento normativo, per la definizione di documento
si ricorre alla dottrina e alla giurisprudenza. F. CARNELUTTI, Documento - Teoria
moderna, in Noviss. Dig., Torino, 1957, pp. 85 e ss, definisce il documento come «una cosa
che fa conoscere un fatto». Esso solitamente è di forma scritta, idonea a rappresentare un
concetto, l'autore deve essere riconoscibile, è necessaria la sottoscrizione (e a volte la data) e
deve avere un contenuto giuridicamente rilevante, espressione con cui si intende che il
documento per essere tale deve essere idoneo a provare degli atti giuridici, ovvero essere
idoneo a fini probatori.
573
Ex multis, sollecitava con forza un intervento riformatore C. CORRIAS LUCENTE,
Diritto penale ed informatica. Le nuove fattispecie di reato a confronto con l'evoluzione
tecnologica e le nuove sfide della criminalità informatica, in Dir. inf., 2003, pp. 51 ss. Per
ricostruire i requisiti e le caratteristiche del documento informatico, si veda per tutti, M.
SCOLETTA, Il nuovo regime penale delle falsità informatiche, in L. LUPARIA (a cura di),
Sistema penale e criminalità informatica. Profili sostanziali e processuali nella legge
attuativa della Convenzione di Budapest sul cybercrime (l. 18 marzo 2008, n. 48), Giuffrè,
2009, pp. 3 e ss.
574
Così P. TONINI, Nuovi profili processuali del documento informatico, in L. DE
CATALDO NEUBURGER, Scienza e processo penale: linee guida per l'acquisizione della
prova scientifica, Cedam, 2010, p. 429.
575
D. Lgs. 7 marzo 2005, n. 82. Il documento informatico viene definito all’art. 1, lett. p)
come “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.
277
presente nella definizione ormai superata (e quindi nel secondo periodo
dell'art. 491 bis, ora eliminato) è stato abrogato, questo perché la nuova
definizione adottata non parla di programmi, ma si riferisce solo a documenti
informatici aventi efficacia probatoria576. Circa l'importanza delle modifiche
riguardanti la chiarificazione dell'efficacia probatoria del documento
informatico si rinvia alla trattazione successiva577.
Gli articoli 4 e 5 della legge di ratifica della Convenzione concernono
prevalentemente le condotte di danneggiamento. L’art. 4 sostituisce
l'originaria
versione
dell'articolo
615
quinquies
c.p.
(diffusione
di
apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico)578. L'art. 5 al primo comma
576
Come si può dedurre dall'analisi di cui supra dell'articolo 1 della Convenzione di
Budapest, nella definizione di documento informatico non può certo rientrare quello di
programma informatico. Tuttavia, non si cada nell'errore di supporre che in questo modo si
sia creata una lacuna di tutela circa i programmi, che sono ben disciplinati in modo più
specifico in altre norme che ne disciplinano la manipolazione, si pensi agli articoli 635 e 635
bis c.p, di cui meglio si dirà nel prosieguo.
577
Cfr. § 3.2.1. Basti qui dire che operando l'aggiunta “aventi efficacia probatoria” all'art.
491 bis c.p., il legislatore italiano in sede di ratifica ha fortemente circoscritto la portata
sanzionatoria della norma, cosa non prevista dalla Convenzione di Budapest. Infatti,
quest'ultima mirava a perseguire, con il reato di falso in esame, “qualsiasi alterazione ai dati
informatici utilizzabili ai fini legali” e non ai soli aventi efficacia probatoria. In questo modo
si esclude dalla portata della norma la condotta di falsificazione che abbia ad oggetto dei
documenti informatici non sottoscritti con firme digitali qualificate. Ciò è un paradosso, in
quanto sempre più documenti circolano tra privati senza alcuna sottoscrizione digitale. Così
G. AMATO - V.S. DESTITO - G. DEZZANI - C. SANTORIELLO, I reati informatici:
nuova disciplina e tecniche processuali di accertamento, Cedam, 2010, p. 37. Il legislatore
avrebbe quindi dovuto, secondo anche altra autorevole dottrina, far riferimento non
all'efficacia probatoria, ma «all'utilizzabilità a fini giuridici dello stesso, così CORASANITI
- CORRIAS LUCENTE, op.cit., p. 106.
578
Viene ampliandone notevolmente la portata sanzionatoria della norma. Essa presenta ora
una tutela più efficace rispetto al testo originario del 1993, che si limitava a punire chiunque
agisse allo scopo di danneggiare un sistema informatico o telematico tramite la diffusione di
programmi creati ad hoc. La finalità della norma è quella di approntare un sistema che
contrasti, in particolare, la diffusione dei virus, in grado di provocare danni anche
irreversibili non solo ai personal computer, ma anche ad archivi di dati o a server pubblici e
aziendali. La norma punta quindi ad offrire una tutela preventiva all’integrità e funzionalità
dei sistemi informatici. Viene infatti costruita una fattispecie di pericolo, in cui le condotte
sono punite a prescindere dal mero scopo di profitto o dalla verificazione concreta del danno,
essendo sufficiente il semplice pericolo di alterazione, qualora sia provocato
intenzionalmente. Il bene giuridico protetto dalla norma è dunque il diritto a godere in
278
novella la formulazione dell'art. 635 bis (danneggiamento di informazioni, dati
e programmi informatici)579, mentre al secondo comma introduce ben tre
nuove ipotesi di reato:
l'art. 635 ter c.p. (danneggiamento di informazioni, dati e programmi
informatici utilizzati dallo Stato o da altro ente pubblico o comunque di
pubblica utilità)
l'art. 635 quater c.p (danneggiamento di sistemi informatici o
telematici)
l'art. 635 quinquies (danneggiamento di sistemi informatici o telematici
di pubblica utilità)580
Anche il comma terzo dell'art. 5 introduce una nuova fattispecie di reato, ossia
quella della frode informatica del soggetto che presta servizi di certificazione
di firma elettronica (art. 640 quinquies c.p.). L'introduzione di queste
maniera completa e indisturbata di sistemi e programmi informatici, senza che gli stessi
rischino di subire danni illeciti. Su questo reato va ancora ricordato come sia stata tralasciata
un’indicazione contenuta nella Convenzione, secondo la quale il reato in questione era
configurabile solo se il soggetto agente si trovava in possesso di un “certo numero di
programmi o dispositivi”. La mancata previsione di una “soglia numerica” è stata in tal caso
una scelta ponderata da parte del legislatore nazionale ed è sicuramente apprezzabile: in caso
contrario sarebbero derivate notevoli difficoltà nel costruire una norma chiara e diretta. In
ogni caso il numero dei dispositivi in possesso può essere utile per provare il dolo specifico e
dimostrare, di conseguenza, la finalità illecita del possessore.
579
Reato già introdotto dalla legge 547/1993 per sanzionare le condotte di aggressione
all’integrità dei sistemi informatici, prima ricomprese nella fattispecie generale di
danneggiamento. Si tratta del danneggiamento di dati informatici (pubblici e privati) e del
danneggiamento di sistemi informatici in senso stretto, ognuno dei quali presenta una
disciplina penale differenziata. Le novità riguardano anche gli strumenti repressivi,
notevolmente implementati. Le condotte punibili possono essere sia fisiche che prettamente
informatiche: oltre a quelle di distruzione e deterioramento, già previste in origine, sono
aggiunte le condotte consistenti nella cancellazione o alterazione di dati.
580
Per rispondere al meglio alle indicazioni impartite dalla Convenzione, sono state
introdotte queste altre due norme ex novo (gli artt. 635 quater e 635 quinquies c.p.), volte a
punire le condotte di danneggiamento afferenti a un sistema informatico nel suo complesso,
e non a singoli dati o documenti informatici. La creazione di questa nuova fattispecie di
danneggiamento, volutamente distinta dalla precedente, è giustificata dall’inasprimento della
pena, introdotto in ragione della maggiore pericolosità della condotta. Tra le condotte punite
rientrano anche quelle finalizzate a rendere il sistema informatico inservibile e quelle volte
ad ostacolarne il funzionamento: con riferimento a queste ultime, il danneggiamento può
essere, commesso attraverso la diffusione di virus, rivelando la particolare attenzione posta
dal legislatore su queste particolari modalità di aggressione (al momento della conversione le
più frequenti).
279
numerose nuove fattispecie ha reso superfluo l'art. 420 c.p, rubricato “attentato
a impianti di pubblica utilità”, che è stato abrogato dal successivo comma 6
della legge in esame.
Devono essere poi segnalate le modifiche operate dalla normativa in
relazione al Codice di rito e al d.lgs. 196/2003, noto come Codice Privacy.
Gli articoli 8 e 9 della legge 48/2008 riguardano gli aspetti più
processuali, legati a modifiche al codice di rito. Basti dire, ai nostri fini, che
l'art. 8 rinnova talune disposizioni del codice di procedura penale, prevedendo
mezzi di ricerca della prova calibrati sulle peculiarità dei delitti informatici; il
cuore della disciplina processualistica è rappresentato dall'ispezione e dalla
perquisizione informatica (rispettivamente agli artt. 244 comma 2 c.p.p. e 247
comma 1 bis c.p.p.) alle quali si affianca la nuova previsione del sequestro di
dati informatici presso fornitori di servizi informatici, telematici e di
telecomunicazioni ex art 254 bis c.p.p. Il seguente art, 9 completa la novella
delle disposizioni del codice di rito: introduce il comma 1 bis dell'art. 352 e
modifica gli artt. 353 e 354 c.p.p., rendendo così possibile l'esecuzione di
attività investigative aventi carattere informatico da parte della polizia
giudiziaria in via d'urgenza581.
Sempre in relazione al codice di rito l'articolo 11 della legge di ratifica
estende la fattispecie di cui al 51 c.p.p. aggiungendo a questo il comma 3
quinquies, riguardante l'accentramento delle funzioni del pubblico ministero
presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice
competente in relazione ai procedimenti per delitti informatici582.
581
L'art. 8 della citata legge innova ulteriori disposizioni del codice di rito: l'art. 248 c.p.p., la
cui integrazione consente ora di richiedere a banche e non solo la consegna di atti, documenti
e corrispondenza, bensì pure di dati, informazioni e programmi; l'art. 254 c.p.p. è stato
novellato, rendendo così possibile procedere al sequestro di corrispondenza avente carattere
informatico; sono stati integrati l'art. 256 c.p.p. (dovere di esibizione e segreti), il 259
comma 2 c.p.p. riguardante la catena di custodia delle cose sequestrate e l'art. 260 c.p.p.
riguardante l'apposizione di sigilli.
582
Questa modifica tende a soddisfare uno degli obiettivi primari della Convenzione di
Budapest, quello di creare una stretta collaborazione sia nazionale che internazionale volta a
280
Continuando sull'analisi più squisitamente processuale della normativa in
esame, si noti che prima dell’entrata in vigore la legge 48/2008, l’acquisizione
di dati e reperti informatici da utilizzare in sede probatoria era fondata su una
prassi investigativa, mutuata dall’esperienza anglosassone. L’ambito tuttavia
risultava spesso trascurato sotto il profilo giudiziario, sia per le scarse
conoscenze tecniche, sia per l’inadeguatezza dei mezzi a disposizione delle
forze dell’ordine. Per questo motivo con l’entrata in vigore della legge di
ratifica è stata introdotta una disciplina mirata, tramite l’indicazione di
specifiche modalità per tutelare e preservare l’integrità dei dati elettronici.
Il continuo utilizzo di sistemi informatici o telematici da parte dei criminali
determina la presenza sulla scena criminis dei più svariati elementi di prova
digitale per forma e dimensione (si pensi alle dimensioni ridottissime di una
contrastare i crimini informatici. Si amplia in questo modo il novero dei reati attribuiti al
pubblico ministero, fissando una nuova competenza “distrettuale”. Con questa aggiunta
all’art. 51 c.p.p., le indagini sono ora affidate alla procura distrettuale per una serie di nuovi
delitti, i quali risultano essere suddivisi in tre aree: a) l’accesso illecito a sistemi informatici e
i relativi reati di danneggiamento; b) i reati di pedopornografia e l’incentivazione informatica
delle attività ad essi correlate; c) le frodi informatiche. La modifica andrebbe nella direzione
di soddisfare l’esigenza di realizzare una sorta di “coordinamento tecnico” tra polizia
giudiziaria e magistratura, evitando un'eccessiva frammentazione nello svolgimento delle
attività investigative, garantendo un rapido scambio delle informazioni essenziali. Tuttavia
questa novità è stata criticata in quanto, nell'ambito dei cybercrimes una soluzione
accentratrice di questo tipo (simile a quella ideata per la criminalità organizzata di stampo
mafioso), appare di difficile realizzazione, data l'assenza di un organo omologo, per esempio,
alla Direzione Nazionale Antimafia. Il legislatore avrebbe dovuto prevedere, insieme alla
modifica in questione, anche la creazione di un organismo centrale di coordinamento unico
formato da magistrati specializzati in ambito penale informatico. Già nel 1995 il Consiglio
d'Europa si era mosso in questa direzione, con la Raccomandazione, R(95) 13 dell'11
settembre 1995. Una soluzione accentratrice come quella in esame, senza la previsione
dell'organo suddetto, ha incrementato il lavoro delle procure distrettuali, provocando
disfuzioni che rischiano di incidere negativamente sul corretto esercizio dell'azione penale
(art. 112 Cost.). Va detto che alcune Procure virtuose, come quella di Milano, hanno istituito
ben prima della legge di ratifica alla Convenzione di Budapest in esame (nel caso di Milano
nel
2004)
un
pool
reati
informatici
altamente
specializzato
http://www.procura.milano.giustizia.it/reati-informatici.html.
In questo senso sul punto si vedano CUNIBERTI p. 21; L. PICOTTI, La ratifica della
Convenzione Cybercrime del Consiglio d'Europa, in Diritto penale e processo, n.6, 2008, pp.
720 ss; F. RESTA, Cybercrime e cooperazione internazionale nell'ultima legge della
legislatura, in Giur. Merito, 2008, p. 2154; F. CAJANI, Brevi considerazioni sull’impatto
della “distrettualizzazione” ex legge 48/2008 sul pool reati informatici della Procura di
Milano, in ISFA Memberbook, 2010, G. COSTABILE - A. ATTANASIO (a cura di),
Digital Forensics, Experta, 2010
281
scheda micro sd, capace di contenere 64 o anche 128 gb di dati), risulta quindi
fondamentale che gli stessi siano reperiti correttamente, per essere idonei, in
sede processuale, ad individuare fatti o circostanze utili all’accertamento della
verità583.
Una volta recuperati, tali elementi vengono analizzati e conservati tramite
tecniche di analisi forense testate a livello scientifico584.
Le modifiche di stampo processuale più importanti apportate dalla legge di
ratifica attengono alla materia di ispezioni e perquisizioni.
Le attività ispettive hanno una funzione conoscitiva, in quanto volte ad
esaminare cose, luoghi o persone per rilevare eventuali tracce di reato. Le
modifiche introdotte nel codice di procedura penale dalla legge di ratifica
equiparano, da questo punto di vista, luoghi fisici e luoghi virtuali e specifica
che
l’accertamento
può
avere
ad
oggetto
materiale
informatico.
Conseguentemente, le ispezioni possono essere compiute dall’autorità
giudiziaria anche in relazione a sistemi informatici, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e ad impedirne
l’alterazione. L’ispezione appare lo strumento migliore quando il sequestro
informatico sarebbe superfluo, essendo sufficiente la semplice descrizione
degli elementi informatici pertinenti al reato.
La perquisizione informatica, al contrario, rappresenta l’atto tipico di
investigazione tramite il quale la polizia giudiziaria ricerca il corpo del reato o
cose pertinenti ad esso, qualora gli stessi siano allocati su supporti digitali. La
finalità principale è quella di garantire il sequestro probatorio, volto ad
acquisire la fonte di prova da fornire in giudizio. Non si tratta più quindi di
semplice attività di osservazione, ma diviene una condotta manuale posta in
583
Sul punto, ovvero in tema di digital, computer e mobile forensics si richiamano G.
VACIAGO, Indagini difensive dell’ente e prove digitali: brevi cenni ai principi generali di
digital forensics, in La responsabilità amministrativa delle società e degli enti, n.2, 2011, pp.
27 ss.
584
Si parla in questo caso di “digital evidence”, definita da CASEY come «il complesso di
informazioni digitali in grado di stabilire se un crimine è stato commesso o che possono
rappresentare un collegamento tra un crimine e le sue vittime o i suoi esecutori». E. CASEY,
Digital evidence and Computer Crime, in Academic Press, New York, 2000, p. 196.
282
essere direttamente sul sistema informatico. Le autorità preposte devono agire,
in tal caso, senza alterare i dati contenuti, rischio concreto se non vengono
adottate tutte le precauzioni di sorta. Per tale ragione le attività di
perquisizione e sequestro devono ora avvenire con il necessario ausilio di
strumenti tecnici, in grado di copiare, o anche meglio clonare l’intero
contenuto di qualsiasi supporto informatico585, per rendere utilizzabili i dati a
livello forense. Ovviamente sarà anche possibile acquisire componenti
originali, avendo però a riguardo i soli elementi necessari per soddisfare le
esigenze probatorie. Non può quindi procedersi ad un sequestro indiscriminato
di files o programmi che non hanno a che fare con l’attività illecita, in quanto
tale attività, prima ancora che eccessiva ed inutile, sarebbe illegittima.
Riguardo alle modifiche relative al Codice in materia di protezione dei
dati personali (d.lgs. 30 giugno 2003, n. 196), l'articolo 10 della legge 48/2008
apporta alcune modifiche all'art. 132 rubricato “conservazione di dati di
traffico per altre finalità”. La novità più rilevante, quindi, attiene
all’acquisizione dei dati di traffico telematico attraverso il cd. freezing,il
“congelamento” dei dati telematici presso il gestore responsabile, il quale è
tenuto a custodirli e a garantirne la segretezza.
In base alle nuove prescrizioni, il “congelamento” può essere disposto solo in
casi eccezionali ed urgenti dal Ministro dell’interno, o dagli organi delegati, e
quindi solo “per finalità di accertamento e repressione dei reati”586. In questo
modo si consente lo svolgimento di delicate indagini di polizia evitando altresì
la dispersione dei dati durante controlli preventivi o intercettazioni.
Si pensi alla copia bit to bit, o alla bitstream image, di cui anche in G. CORASANITI –
G. CORRIAS LUCENTE, Cybercrime, responsabilità degli enti, prova digitale, Cedam,
2009; L. CHIRIZZI, Computer forensics, il reperimento della fonte di prova informatica,
Laurus Robuffo, Roma, 2007.
586
Tale formula appare tuttavia generica ed ambigua per un ambito, come quello penale
informatico, che richiederebbe precisione redazionale e una casistica tassativa: si corre così
il rischio di estendere l'applicazione della fattispecie anche a reati diversi dai computer
crimes o non contemplati dal Codice Privacy. Così L. PICOTTI, op.cit., p. 723.
585
283
Altro punto di forza del freezing è quello delle richieste avanzate dalle autorità
investigative straniere: potranno essere congelati, in tal modo, dati informatici
facilmente alterabili o modificabili in attesa dei tempi tecnici delle rogatorie.
Il provvedimento che ordina la conservazione è in ogni caso temporaneo e può
essere oggetto di proroga solo in caso di esigenze motivate, per una durata
complessiva non superiore a sei mesi.
I gestori o fornitori sono tenuti ad adempiere alle indicazioni impartite, che
possono prevedere particolari modalità di custodia, e a mantenere il segreto
sull’ordine ricevuto e sulle attività svolte durante il periodo indicato. La
violazione di tale obbligo è sanzionata penalmente.
Infine, l'art. 12 istituisce il fondo per il contrasto alla pedopornografia
su internet e per la protezione delle infrastrutture informatiche di interesse
nazionale.
Dopo aver così brevemente illustrato la disciplina della legge 18 marzo
2008, n. 48, non si può tuttavia esimersi dal prendere atto di come essa da un
non solo non colmi le lacune esistenti, ma addirittura ne generi ulteriori 587. La
necessità di approvare il testo definitivo del provvedimento entro il termine
della legislatura ha infatti condotto all'approvazione di un testo contenente
molteplici discrasie ed incongruenze588. Si sono ignorati “temi caldi” che
avrebbero necessitato una regolamentazione come la responsabilità dei service
587
Per comparare i risultati italiani con quelli degli altri Stati membri, a diversi anni dalla
Convenzione di Budapest si veda il contributo di M. GERCKE, 10 years Convention on
Cybercrime. Achievements and falures of the Council of Europe's instrument in the fight
against Internet-related crimes, in Computer Law Review, n.5, 2011, pp.142 ss.
588
La normativa è stata al centro di aspre critiche, si veda L. PICOTTI, La ratifica della
Convenzione Cybercrime del Consiglio d'Europa. Profili di diritto penale sostanziale, in Dir.
pen. proc., 2008, pp. 700 ss; illuminante a questo proposito lo scritto di C. SARZANA e S.
IPPOLITO, La legge di ratifica della Convenzione di Budapest: una “gatta” legislativa
frettolosa, in Dir. Pen. Proc., 2008, pp. 1562 ss. L' Autore scrive come gli stessi relatori,
davanti alle Commissioni riunite del Senato della Repubblica, abbiano riconosciuto tali
incongruenze, la cui soluzione è affidata all'attività ermeneutica delle aule di tribunale. Allo
stesso scritto si rinvia per una precisa descrizione dell'iter parlamentare di approvazione della
legge 18 marzo 2008, n. 48.
284
provider, mentre al contrario altri sono stati oggetto di una superfetazione
normativa, come dimostrato dalla quadruplicazione delle fattispecie di
danneggiamento informatico.
Non da ultimo, anche la tecnica di redazione del testo di legge ha
attirato le critiche della dottrina, che non ha mancato di osservare come si
siano «utilizzati arnesi antichi e spesso del tutto inadeguati» per disciplinare
fattispecie caratterizzate da una «marcata eterogeneità rispetto ai modelli di
origine»589. Per un esempio lampante di discrasia contenuto nella legge si
pensi alla modifica dell'art. 51 c.p.p.: con l'aggiunta del comma 3 quinquies si
estendevano le attribuzioni del pubblico ministero presso il tribunale del
capoluogo del distretto, ma contestualmente nessuna modifica corrispondente
veniva apportata all'art. 328 c.p.p., come ci si sarebbe invece aspettato, così
che la competenza territoriale del g.i.p. continuava a seguire gli ordinari criteri
di determinazione. Questo situazione creatasi ha reso necessario un intervento
correttivo del legislatore: la legge 24 luglio 2008, n. 125, che convertiva il d.l.
23 maggio 2008, n. 92, con la quale è stato introdotto il comma 1 quater
dell'art. 328 c.p.p., ha ristabilito il parallelismo tra il pubblico ministero e il
giudice per le indagini preliminari competenti, ora entrambi da individuarsi
nei rispettivi uffici distrettuali590.
Tale ricorso ad una legge correttiva delle “distorsioni sistematiche” della legge
di ratifica alla Convenzione di Budapest non fu affatto un caso isolato.591
589
Così G. MORGANTE, Premessa, in Commento articolo per articolo alla l. 13/3/2008, n.
48, in Legisl. pen., p.253 che porta ad esempio il caso della frode informatica di cui all'art.
640 quinquies c.p. che presenta elementi costitutivi completamente differenti dal reato di
truffa di cui al 640 c.p.
590
Si veda a questo proposito C. SARZANA DI SANT'IPPOLITO, Informatica, internet e
diritto penale, Milano, 2010, pp. 683 ss. che riporta il conflitto di competenza generato
dall'incongruenza in esame, che ha portato alla pronuncia Cass., sez. I, 30 ottobre 2008, n.
45078. Riguardo alla modifica della legge 48/2008 al 51 c.p.p. tuttora critico rimane F.
COSSIBBA, L'ampliamento delle attribuzioni del pubblico ministero distrettuale, in
LUPARIA, op.cit., pp. 125 ss, che evidenzia i rischi connessi alla continua estensione delle
attribuzioni del pubblico ministero distrettuale.
591
Cfr. L. LUPARIA, I correttivi alle distorsioni sistematiche contenute nella recente legge
di ratifica della Convenzione sul cybercrime, in S. LORUSSO (a cura di), Le nuove norme
sulla sicurezza pubblica, Padova, 2008, pp. 63 ss.
285
Visto brevemente il contenuto dei principali articoli della Convezione
di interesse, si vuole ora a dedicare maggiore attenzione all'articolo 7 della
legge di ratifica che introduce l'art. 24 bis nel d.lgs 231/2001, tramite il quale i
reati informatici in esso richiamati divengono fattispecie in grado di far
sorgere la responsabilità penale dell'impresa»592 .
§ 1.4 L'INTRODUZIONE DELL'ART. 24 BIS NEL D.LGS. 231/2001: «LE
AZIENDE
NON
POSSONO
PIÙ
“SNOBBARE”
I
REATI
INFORMATICI»593.
L'art. 7 della legge di ratifica della Convenzione di Budapest introduce
la responsabilità “amministrativa” dell'ente per la maggior parte dei reati
informatici, visto che, a voler essere precisi si tratta di un'estensione, in quanto
l'art. 24 del d.lgs. 231/2001 già prevedeva questa forma di responsabilità per la
fattispecie di frode informatica, ma soltanto nell'ipotesi che fosse commesso in
danno dello stato o di altro ente pubblico (art. 640 ter c.p.)594.
All'art. 12 comma 3 della legge 48/2008 si legge: “Secondo i principi giuridici adottati
dalle parti, la responsabilità può essere penale, civile o amministrativa”.
593
Così intitolava un suo articolo un autorevole Autore in materia di diritto penale
informatico: P. GALDIERI, in “Interlex”, n.376, 26 giugno 2008.
594
Si veda per un commento all'art. 24 d.lgs. 231/2001, P. PREVITALI, Il reato di frode
informatica ai sensi del d.lgs. 231/2001: standard di controllo e procedure per la
compliance del modello organizzativo, in La responsabilità amministrativa delle società e
degli enti, n.1, 2007, pp. 161-171; V. TUTINELLI, La Indebita percezione di erogazioni,
truffa in danno dello stato o di un ente pubblico o per il conseguimento di erogazioni
pubbliche e frode informatica in danno dello Stato o di un ente pubblico responsabilità
amministrativa delle società e degli enti, in M. LEVIS - A. PERINI (a cura di),
Commentario al d.lgs. 231/2001, Milano, Zanichelli, 2014, pp. 443-666.
Per un commento analitico circa l'art. 24 bis si segnalano in dottrina: C.
SANTORIELLO - G. DEZZANI - P. DAL CHECCO, Delitti informatici e trattamento
illecito di dati, in M. LEVIS - A. PERINI (a cura di), op. cit., Zanichelli, 2014, pp. 461-483;
G. DEZZANI - S. RICCI, Reati informatici e responsabilità amministrativa dell’ente, in G.
CASSANO - G. SCORZA - G. VACIAGO, Diritto dell’internet. Manuale operativo. Casi,
legislazione, giurisprudenza, Cedam, 2012, pp. 619-636; S. CRIMI, Commento all'art. 24
bis d.lgs. 231/2001, pp.306-313, in A. CADOPPI - G. GARUTI - P. VENEZIANI, Enti e
responsabilità da reato, UTET 2010; F. BOEZIO - G. BRUSTIA, I crimini informatici, in S.
DI GUARDO - P. MAGGIOLINI - N. PATRIGNANI, Etica e responsabilità sociale delle
tecnologie dell'informazione, Vol. I, Franco Angeli, 2010, pp. 261-310; MASSIMO
CARDUCCI, La responsabilità delle persone giuridiche e i crimini informatici, pp. 299-317
592
286
Alla base della scelta del legislatore di introdurre una normativa sulla
responsabilità ex crimine degli enti si rinviene sia la volontà del legislatore, da
un lato, di adeguarsi ad alcune convenzioni internazionali595, dall’altro di
introdurre nell’ordinamento giuridico forme di responsabilità dell’ente
svincolate da quelle meramente personali596. Appariva ormai evidente,
e R. FLOR, Corporate liability and criminal law, before and after the implementation of the
Convention on Cybercrime. A comparative approach, in Atti del Convegno di Studi UAEOLAF (29-31 Gennaio 2009, Milano), Responsabilità delle persone giuridiche per reati di
frode agli interessi finanziari dell’Unione europea e per crimini informatici, a cura del
Centro Studi di Diritto Penale Europeo; G. CORASANITI-G. CORRIAS LUCENTE,
Cybercrime, responsabilità degli enti e prova digitale, Cedam, 2009, in particolare pp. 157192; H. BELLUTA, Cybercrime e responsabilità degli enti, pp. 83-110, in L. LUPARIA,
Sistema penale e criminalità informatica, Giuffrè, 2009.
Per approfondire ulteriormente, con un approccio pratico e uno sguardo alla più
recente giurisprudenza e dottrina specializzata circa i singoli reati rientranti nell'art. 24 bis
(tuttavia analizzati, per forza di cose, ancora come reati individuali: si veda infra circa la
mancata giurisprudenza sui delitti informatici come reati dell'ente § 3.2.4): G. D'AIUTO - L.
LEVITA, I reati informatici. Disciplina sostanziale e questioni processuali, Giuffrè, 2012, in
particolare, per citare la divisione che ne fanno i due Autori: “i reati informatici in senso
stretto” alle pp. 3-44, definiti come illeciti «caratterizzati dalla comune circostanza di avere
ad oggetto sistemi informatici (variamente intesi)» e “i reati eventualmente informatici” alle
pp. 45-90, definiti invece come delitti in cui «il mezzo informatico si atteggia esclusivamente
a strumento di perpetrazione del reato, esulando pertanto dall'ingresso nell'ambito degli
elementi oggettivi strictu sensu intesi».
595
Sul punto si possono richiamare la Convenzione PIF del 1995 e i relativi Protocolli, la
Convenzione UE per la lotta alla corruzione del 1997 e la Convenzione OCSE elaborata nel
medesimo anno. In particolare è l'art. 3 di quest'ultima che introduce il concetto di
Responsibility of Legal Persons, ciò fu fortemente voluta dagli Stati Uniti (dopo un'inchiesta
della SEC rivelatoria di una forte piaga corruttiva nel commercio internazionale), che già dal
1977 avevano adottato il Foreign Corrupt Practices Act, contro la corruzione tra i pubblici
ufficiali stranieri, imponendo alle società condotte etiche trasparenti. Due anni dopo la SEC
varava le Federal sentencing guidelines, che prevedevano l'adozione dei noti compliance
programs.
596
Si afferma infatti che «oltre all'esigenza di adeguarsi alle Convenzioni Internazionali, lo
stimolo per l'introduzione di forme di responsabilità dell'ente nell'ordinamento italiano, che
fossero svincolate da quelle meramente personali, era collegato ad esigenze di natura
sostanziale. Si era resa, infatti, sempre più evidente l'inefficacia di interventi repressivi nei
confronti dei singoli individui, nel caso di reati commessi nell'ambito di specifiche politiche
aziendali o che, comunque trovassero la propria matrice nella colpa organizzativa delle
società. Tale tecnica sanzionatoria risultava intrinsecamente parziale, inadeguata ed
anacronistica a fronte della fungibilità del colpevole che poteva venir destituito o della
difficoltà, non poco frequente, di individuare il responsabile, che finiva per ricondurre i reati
aziendali, soprattutto in organizzazioni molto complesse, sotto un'aura di sostanziale
immunità». Così, CORASANITI-CORRIAS LUCENTE, op.cit., p. 160.
Una chiave di lettura per comprendere la ratio legis del d.lgs. 231/2001, oltre alla
volontà di adempiere agli obblighi internazionali, la troviamo anche grazie ai lavori
287
l’inefficacia di interventi repressivi nei confronti dei singoli individui,
facilmente fungibili (le c.d. “teste di paglia”597), e tale spinta motivazionale
risultava ancora più necessaria se applicata ai delitti informatici, sempre più
spesso impuniti a causa della complessa identificazione dell'autore materiale
del reato, da parte sua sempre più abile nel guadagnarsi l'anonimato dietro lo
schermo di un computer598.
Cerchiamo brevemente di capire perché l'identificazione di un soggetto
che compie un reato informatico risulta così complessa599. I problemi derivano
preparatori del decreto e alla lettura della relazione governativa di accompagnamento ad
esso, tale chiave ci è fornita dal criterio di imputazione soggettiva della responsabilità, la cd.
colpa da organizzazione: questo criterio, infatti, non rispondendo ad una logica garantista,
bensì piuttosto a quello di una logica preventiva, ci induce a comprendere che l'intenzione
del legislatore sta proprio nella prevenzione del reato. L’esperienza internazionale,
soprattutto statunitense, aveva infatti dimostrato come l’attribuzione di responsabilità,
secondo il classico principio del versari in re illicita, non risultasse un deterrente sufficiente
per il rispetto delle norme: illuminante a questo proposito il contributo di A. MANTELERO,
Data protection ed attività di impresa. Dove guardano gli USA?, in Diritto
dell’informazione e dell’informatica, 2011, pp. 457-476. Contra CORASANITI - CORRIAS
LUCENTE, op. cit., p. 161, in cui al contrario si afferma come «l'esperienza statunitense
aveva (...) ampliamente dimostrato che l'attribuzione delle responsabilità, secondo i principi
ispirati al versati in re illicita, non disincentivava, di fatto, l'inosservanza delle condotte
doverose».
597
L'espressione è di F. BRICOLA, utilizzata nel suo celebre scritto divenuto un classico
nella letteratura penalistica Il costo del principio societas puniri non potest nell'attuale
dimensione del fenomeno societario, in Riv. it. dir. proc. pen., 1970, pp. 951 ss.
598
Il problema è noto, come afferma M. CARDUCCI, sostituto procuratore della Repubblica
presso il Tribunale di Milano e facente parte del Pool reati informatici (istituito dalla
Procura di Milano nel 2005): «appare evidente che la responsabilità dell'ente in materia di
criminalità informatica desta non poche preoccupazioni, riconducibili alle difficoltà che si
incontrano in questo settore nell'individuare gli autori dei reati» Così M. CARDUCCI,
op.cit., p. 314. Prima dell'avvento del d.lgs. 231/2001 le aziende, infatti, non si
preoccupavano affatto, esse facevano proprio affidamento sul fatto che il reo sarebbe
facilmente rimasto anonimo, per non incorrere in eventuali procedimenti a loro carico: ma
con l'autonomia della responsabilità dell'ente sancita all'art. 8 d.lgs. 231/2001, rispetto a
quella dell'autore materiale della condotta, l'ente è ora imputabile anche in caso di non
identificazione del reo, in caso di commissione di reato informatico al suo interno e in
concomitanza con i requisiti richiesti dagli art. 5 6 7.
599
Uno studio americano rivela la percentuale di casi di delitti informatici, per i quali viene
effettivamente istituito un processo, è molto più bassa rispetto alle altre tipologie di reato.
Anche la pena,di solito, è più blanda, nonostante i computer crimes rientrano a pieno titolo
nei reati federali. In Italia le cose non vanno meglio: in primo luogo le aziende vittime di
delitti informatici non denunciano, temendo di danneggiare la propria immagine (con
conseguente danno economico) rendendo pubblica la propria vulnerabilità; in secondo luogo,
consapevoli della complessità dell'identificazione dell'autore materiale del reato, le aziende
vittime di cybercrime, non denunciano perché convinte che un eventuale procedimento
288
dal fatto che, data la dimensione globale della rete, è necessaria, nella maggior
parte dei casi, una cooperazione tra le autorità giudiziarie dei singoli paesi. Il
primo ostacolo alla perseguibilità penale dei singoli utenti che accedono alla
rete internet consiste nei problemi legati alla legge applicabile e alla
giurisdizione600.
La prima cosa da fare, avendo chiaro che Internet è una
rete di
macchine connesse tra loro, è identificare la macchina (computer) da cui è
partita la condotta illecita. Il secondo passo consiste nel collegare il computer
incriminato alla persona fisica (l'utente) che materialmente ha compiuto la
condotta criminosa servendosi della macchina. Riguardo al primo step, ossia
l'identificazione del computer, si parla di identificazione del layer IP. Quando
si pensa all'identità di un computer, subito si pensa al nome dell'host (ad es.
www.larepubblica.it), ma in realtà l'uso di nomi per gli host è una pura
convenzione e comodità umana, in quanto i veri elementi che identificano
qualunque cosa su Internet sono gli indirizzi network IP (come per esempio
123.234.112.211) che sono assegnati come i nomi di host, attraverso il DNS
(Domain Name System) di Internet601. Esistono due categorie di indirizzi IP,
penale in capo alla persona fisica, sarebbe destinato all'archiviazione, portando solo ad un
inutile dispendio di risorse. Ora con la normativa del 24 bis d.lgs. 231/2001 l'approccio al
problema, e alla sua soluzione, (come è auspicabile) potrebbe cambiare.
600
Il crimine informatico si caratterizza perla sua “aterritorialità”, ovvero per il suo carattere
transazionale. I principi che presiedono l'applicazione della legge penale nello spazio sono
quattro (principio di territorialità, di personalità, di difesa, di universalità), tuttavia «nessuno
di questi principi, come si evince dagli articoli 6 e seguenti del codice penale, è stato adottato
in maniera assoluta dal legislatore, che ha invece preferito un'accorta armonizzazione tra gli
stessi, generando, in sintesi, una sorta di “territorialità temperata”» (BOEZIO - BRUSTIA,
op.cit., p. 280). In base ai principi generali applicabili in materia di locus commissi delicti, la
giurisdizione penale del giudice italiano è esercitata secondo il disposto dell'art. 6 c.p.
secondo cui “è punito secondo la legge italiana chiunque commette un reato nel territorio
dello Stato”. Questo si realizza ogni volta che l'azione o l'omissione che lo costituisce è
avvenuta in tutto o in parte in Italia, ovvero si è verificato in Italia l'evento che è
conseguenza dell'azione o dell'omissione (art. 6 c.p. comma 2). Quindi, l'autorità giudiziaria
italiana si radica a prescindere dal luogo di consumazione dell'illecito, essendo sufficiente
che l'azione si sia realizzata in Italia.
601
Per approfondimenti tecnici circa i nomi a dominio si veda M. MEGALE, Diritto di
Internet: i nomi a dominio, in AA. VV., Diritto e Internet. Aspetti di informatica giuridica,
Mondadori Università, 2007, pp.13-36. Per capire come funziona la trasmissione dei dati tra
i computer connessi basti dire che tutte le informazioni che transitano su Internet utilizzano il
289
quelli dinamici e quelli fissi, che determinano due differenti tipologie di
computer connessi alla rete. Gli indirizzi dinamici vengono temporaneamente
distribuiti dagli access provider agli utenti per il periodo in cui sono connessi:
ciò significa che ad ogni collegamento il singolo utente riceverà sempre un
indirizzo IP diverso tra quelli a disposizione del suo provider. Gli indirizzi IP
fissi vengono invece assegnati dagli Internet Service Provider (ISP) a quei
computer (cd. server) sempre presenti in rete: in questo caso la macchina (o le
macchine) connesse fruiscono di una cd. linea dedicata, ovvero di un costante
collegamento a Internet. In questo caso i computer possono essere molteplici,
ma l'indirizzo IP rimane unico per tutti.
Possiamo quindi affermare che gli indirizzi IP funzionano come una
sorta di carta di identità delle macchine connesse alla rete. Il primo passo
verso l'identificazione dell'autore materiale di un delitto informatico sarà
quindi conoscere l'IP del computer utilizzato, o nel caso per esempio di un sito
che contenga materiale illegale (es. pedopornografico) l'indirizzo IP del server
a cui il dominio è collegato.
Il secondo step consiste quindi nel risalire dall'indirizzo IP all'identità
degli utenti. Partiamo considerando gli indirizzi dinamici. La maggior parte
degli access provider offre gratuitamente il servizio di connessione ad
Internet, richiedendo la compilazione di moduli on-line attinenti ad alcuni dati
personali dell'utente, ma naturalmente, non essendo richiesto alcun documento
comprovante l'identità dell'utente, è facile pensare che i dati inseriti
(specialmente da un cracker consapevole) possano non essere veritieri.
protocollo di comunicazione TCP/IP: i dati vengono smembrati in piccoli pacchetti e inviati
verso un determinato indirizzo IP dove lo stesso protocollo provvederà a ricomporli nella
loto struttura originaria. Il TCP/IP si basa su un sistema di comunicazione detto “three way
TCP handshake” che determina l'affidabilità della connessione: si tratta di un colloquio in
tre sessioni che consente ai computer collegati di confermare reciprocamente la corretta
instaurazione della connessione, i computer si segnalano (con una sorta di “stretta di mano”,
handshake) a coppie e reciprocamente che entrambi sono pronti a ricevere ed inviare dati. La
comunicazione in Internet è infatti sempre biunivoca, nel senso che i dati sono costantemente
inviati e ricevuti allo stesso tempo, da qui la necessità che ognuno abbia un indirizzo IP. Per
approfondire si veda BOEZIO - BRUSTIA, op.cit., p. 276.
290
Conoscendo l'indirizzo IP dinamico di un soggetto responsabile della condotta
illecita in rete, è possibile risalire al provider che gli ha fornito l'accesso. A
questo punto l'autorità giudiziaria potrà richiedere i dati relativi alla persona,
ma sarebbe superficiale basarsi sui dati forniti dall'utente stesso (un cracker o
comunque una persona che voglia compiere un reato non fornisce i propri dati
al provider). In questi casi si procede con un tracciamento a posteriori delle
chiamate, ovvero al tentativo di risalire al numero dal quale è originata una
comunicazione partendo dai log602 del provider e utilizzando un sistema
denominato CLI (Calling Line Identifier).
Tutti i fornitori di accesso alla rete Internet tengono un registro delle
assegnazioni IP che riporta: nominativo o codice dell'abbonato, data e ora
della richiesta di accesso alla rete, numero telefonico chiamato dall'abbonato,
numero IP (identificativo della rete Internet) assegnato temporaneamente
all'abbonato. Incrociando questi dati con le registrazioni effettuate dal gestore
di telefonia fissa, è possibile in molti casi risalire univocamente al numero dal
602
Ogni volta che un utente visita un sito e si collega ad Internet, i server dei provider
registrano automaticamente i collegamenti effettuati dai propri abbonati o dai visitatori
occasionali. Queste registrazioni automatiche prendono il nome di “log” e hanno la funzione
primaria di fornire ai provider i dati necessari alla fatturazione. Le registrazioni quindi,
solitamente, rispondono a esigenze di natura contabile o amministrativa, ma possono fungere
anche come prova nel caso di accesso abusivo al sistema e altre delitti informatici. Nei log
register vengono registrati: la durata del collegamento, l'ora e la data di connessione.
Attraverso i log è anche possibile accedere a: nome del provider, tipo di sistema operativo
utilizzato dall'utente, tipo di browser, colore e definizione dello schermo, tipo di server
utilizzato dal provider dell'utente, indirizzo IP dell'utente, l'ultimo sito visitato.
In definitiva log molto dettagliati possono fornire un valido strumento per
ricostruire l'identità dell'utente, portando a conoscere la linea da cui è partita la
comunicazione, ma d'altra parte, con i soli log non è possibile ricavare la corrispondenza tra
l'identità dichiarata dal mittente del messaggio incriminato e quella reale. Oltre ai log,
quindi, esistono altri strumenti cd. Network tools for Internet Information che consentono di
conoscere oltre all'indirizzo IP altre informazioni sui computer connessi alla rete. Alcuni
esempi: il servizio Whois permette di controllare la possibilità di accesso a un determinato
sito e quando è stato registrato il nome e dominio del sito stesso; il programma Traceroute
viene utilizzato per conoscere l'agibilità di un operatore della rete per tracciare la rotta che i
pacchetti di informazioni seguono per giungere da un computer all'altro attraverso i vari
router da cui vengono utilizzati verso la destinazione finale; il programma Finger viene
adoperato per accedere a diverse informazioni di natura tecnica su di un utente o di un server
connesso alla rete. L'utilizzo di tali strumenti in ambiente aziendale, però, si scontra, come
vedremo con le normative che proteggono la riservatezza dei dati e lo Statuto dei lavoratori.
Si veda infra, in questo capitolo, § 3.3. 3.
291
quale è originata la chiamata. A questo punto l'autorità giudiziaria richiederà al
gestore di telefonia di fornirgli le informazioni relative al proprietario del
numero telefonico ed utilizzerà gli strumenti che le sono propri, quali
ispezioni, interrogatori e sequestri per tentare di scoprire da chi è stato
commesso il reato informatico.
Per quanto riguarda gli indirizzi IP fissi il discorso si semplifica, in
quanto in questi casi per poter usufruire di una linea dedicata è necessario
sottoscrivere un contratto vero e proprio con un ISP. L'identità dell'utente
dovrebbe quindi corrispondere a quella di colui che lo ha sottoscritto o a
quella di un suo sottoposto. Tuttavia, però, ad un indirizzo IP fisso possono
essere effettivamente collegati diversi computer, ad esempio tramite una LAN
(Local Area Network) aziendale: in questo caso sarà l'amministratore di
sistema interno a fornire tutte le informazioni necessarie a scoprire l'identità
della persona sospetta.
Va detto, però, che nonostante ogni computer possa essere localizzato
mediante questo sistema di riconoscimento, i crackers più esperti conoscono
svariati modi per dissimulare la loro identità e sottrarsi quindi alla pena. Uno
dei modi più semplici per navigare sicuri senza lasciare tracce e senza il
conseguente timore di essere scoperti, è per esempio agganciarsi a cd. server
proxy. Si tratta di un servizio facilmente reperibile in rete che consente di
navigare con il numero IP del server di riferimento, che non consentirà di
risalire dunque all'indirizzo IP dell'agente, garantendogli la tranquillità per
delinquere603.
603
Esistono, in realtà, diverse tecniche per dissimulare la propria identità su Internet, sia
utilizzando appositi software di dati, sia avvalendosi di servizi messi a disposizione su da
parecchi siti sul world wide web. La “dissimulazione” può essere utilizzata per esempio
mascherare il furto degli indirizzi IP, per inviare posta elettronica anonima, o per utilizzare la
crittografia a scopi illegali. A complicare le cose si aggiunge il fatto che oggi i servizi di
comunicazione non sono più forniti da un singolo elemento “portante” in regime di
monopolio (carrier), una singola trasmissione (cd. trasmission end-to-end) è ora trasportata
spesso da più di un carrier. Di conseguenza, le comunicazioni di un criminale informatico
possono passare attraverso innumerevoli differenze di tipologie di elementi portanti,
ciascuno con differenti tecnologie (per esempio aziende telefoniche locali e a lunga distanza,
reti di telefonia mobile e satellitare). La comunicazione può anche passare attraverso carriers
292
Ma qual è la ragione dell'estensione della responsabilità ex crimine
degli enti ai reati informatici di cui all'art. 24 bis? E quali sono le opinioni
della dottrina e degli operatori del diritto circa l'opportunità di questa
introduzione?
Sicuramente la prima ragione va rinvenuta nel potenziale sviluppo della
criminalità informatica all'interno degli enti, per la persecuzione di indebiti
scopi sociali604.
In secondo luogo, la causa prevalente dell'introduzione dei delitti
informatici va rintracciata, ancora una volta, negli adempimenti derivanti da
fonti internazionali: la già citata Convenzione di Budapest e la Decisione
quadro 2005/222/GAI del Consiglio d'Europa del 24 febbraio 2005605, relativa
alla prevenzione contro gli attacchi ai sistemi di informazione il cui art. 12
imponeva l'adozione da parte degli Stati membri delle misure necessarie entro
il 16 Marzo 2007. Tra queste misure, all'art. 8 della Decisione, si annoverava
la previsione della responsabilità delle persone giuridiche per i reati di accesso
illecito ai sistemi di informazione, interferenze illecite sui sistemi e i dati,
nonché tutti i casi di istigazione, favoreggiamento, concorso e tentativo di
commissione dei suddetti reati. Si osserva, inoltre, che qualche giorno prima
dell'entrata in vigore in Italia della legge 48/2008, il Consiglio d'Europa aveva
indetto una conferenza finalizzata a riunire esperti informatici provenienti da
tutto il mondo, nonché rappresentanti di governo, della polizia e dell'industria
di Internet, tra cui Microsoft, eBay, Symantec e McAfee, al fine di migliorare
la cooperazione internazionale in materia di crimini informatici606.
ubicati in un certo numero di paesi differenti, conformi a sistemi legislativi differenti,
creando problemi di giurisdizione e legge applicabile. Queste complicazioni possono esistere
all'interno di ogni singola trasmissione, rendendo più difficile (se non, a volte, impossibile)
rintracciare i criminali tanto esperti da nascondere la loro posizione ed identità in rete.
604
F. RESTA, La disciplina acquista maggiore organicità per rispondere alle esigenze
applicative, in Guida al diritto, n. 16. 2008, p.52.
605
Decisione quadro 2005/222/GAI, in Gazzetta dell'Unione Europea, 16 marzo 2005
606
Parte della dottrina induce da ciò (non senza un implicito giudizio negativo) un sotteso
interesse squisitamente economico all'inserimento dei reati informatici nel novero dei reati
da cui far scaturire una responsabilità dell'ente: «l'interesse economico sotteso è di evidente
rilievo, basti considerare che è stata proprio la Microsoft a finanziare il progetto sulla
293
Riguardo alle opinioni circa l'opportunità dell'inserimento dei delitti
informatici nel d.lgs. 231/2001 e quindi della responsabilizzazione delle
aziende per tali delitti commessi da un loro subordinato o apicale,
nell'interesse o vantaggio della azienda stessa, la dottrina non è concorde.
Da una parte l’introduzione della normativa ha destato qualche
perplessità in alcuni autorevoli commentatori607, che hanno mosso alcuni
dubbi a riguardo:
criminalità informatica emesso nel settembre 2006 e volto a promuovere lo sviluppo delle
leggi nazionali conformi alle disposizioni della Convezione», così CORASANITICORRIAS LUCENTE, op.cit., p. 181.
Chi scrive si trova in disaccordo e sostiene piuttosto che l'approccio Microsoft, e più
in generale l'approccio americano ai cybercrimes, sia quello corretto: non trincerarsi dietro la
finzione ideale che i propri programmi e software siano inattaccabili (per evitare un danno
all'immagine della corporation, che risulterebbe così più vulnerabile agli occhi del cliente),
bensì riconoscere ed affrontare il problema a viso aperto, direttamente con gli altri soggetti
operanti nel mercato informatico, tentando di fare squadra. Microsoft cerca di cogliere la
sfida: prendiamo il reato di pirateria informatica (ricompreso nel d.lgs. 231/2001 italiano
all'articolo 25 nonies), per essere superato non deve essere visto solo come un problema di
per sé da nascondere, ma come un'opportunità di crescita e miglioramento. Di conseguenza
le norme che responsabilizzano l'ente per reati, come il d.lgs. 231/2001 o la SOX americana,
sono da considerare positivamente, perchè sviluppano l'ottica preventiva e quindi premiale
(cd. carrot and stick approach) trasformando la compliance in un'opportunità (non solo in un
costo). Per questo, è naturale, e a mio avviso corretto, che gli operatori del mercato IT
spingano per normative e ricerche finalizzate a permettere l'identificazione dell'autore
materiale del computer crime e ad assicurargli poi una pena certa. Riflessioni tratte
dall'intervento dell' Avv. S. RICCIARDI, Direttrice Affari Legali di Microsoft Italia, durante
il convegno del 5 marzo 2014, dal titolo “Reati informatici e governance aziendale, quale
filo conduttore?”, presso la sede milanese di ASSINFORM.
607
CORASANITI-CORRIAS LUCENTE, op.cit., pp. 178 e 189-192.
Naturalmente, non è difficile credere come l'opinione di questa dottrina sia quella
condivisa (o strumentalizzata) dalla maggior parte delle PMI (ma anche dalle
multinazionali), che solitamente non hanno o non vogliono investire denaro in IT Security,
cadendo nell'errore di considerare se stesse come improbabili vittime di reati informatici. Si
ricordi che le PMI rappresentano la maggioranza del PIL in Italia e le percentuali di adozione
del modello organizzativo da parte di queste, ai sensi del d.lgs. 231/2001 in generale (non in
relazione ai reati informatici) è ancora irrisoria, a ben 14 anni dall'entrata in vigore della
normativa. Ho avuto modo di trarre queste informazioni durante i workshop di CLUSIT e
SMAU
2014,
alcune
fonti
sono
reperibili
reperibili
qui
http://www.smau.it/milano14/schedules/?types=workshop e qui https://www.clusit.it/. Per
approfondire con un'approccio pratico e statistico e con uno sguardo particolare
all'applicazione dei modelli organizzativi in Italia, si veda lo studio di P. PREVITALI,
Modelli organizzativi e compliance aziendale. L'applicazione del d,lgs. 231/2001 nelle
imprese italiane, Giuffrè, 2009.
Fa meglio sperare il più recente “country-report” condotto dal dipartimento di diritto
dell'economia dell'Università di Roma Tre su commissione della Waseda University di
Tokyo, ma condotto su un campione di 30 grandi aziende italiane (e quindi non PMI, come
294
la maggior parte dei reati informatici verrebbero in realtà, posti in
essere da individui singoli e per di più a danno delle società, non certo
nel loro interesse o vantaggio. Si critica dunque la previsione legislativa
in esame, come rivolta a tutelare situazioni del tutto marginali608.
ancora, la stessa dottrina afferma come «l'introduzione della
responsabilità dell'ente per i reati informatici non costituiva, comunque,
un'effettiva priorità. Negli ultimi anni si è rivelata una limitata
propensione degli enti a commettere a proprio vantaggio o interesse
reati informatici, si è trattato piuttosto che di un fenomeno esteso, di
casi eclatanti e monadici, come l'accesso abusivo al sistema del
Comune per rilevare i dati anagrafici dei cittadini, operato da una
società in favore di un partito politico ovvero le intercettazioni
telefoniche (e telematiche) effettuate da funzionari di società, in forma
ambigua (da stabilire se nell'interesse o vantaggio proprio, ovvero delle
società)».
si sostiene che «è complesso individuare una prassi estesa in cui gli enti
godano, nelle forme tipizzate dal decreto 231, del reato informatico» e
si dubita della possibilità concreta di adottare modelli adeguati relativi
ai reati informatici (considerati troppo specifici e potenzialmente
commissibili da chiunque) non essendo possibile isolare un'area o
funzione dell'ente di rischio reato intrinseco o prevalente come avviene
per gli altri reati.
nello studio di Previtali) nell'ambito bancario e/o industriale, nel lasso di tempo che va dal
2001 al 2011, che quindi corrisponde ai primi 10 anni di applicazione del d.lgs.
231/2001.L'indagine ha un taglio empirico, ma si concentra esclusivamente sui reati societari
classici, come la corruzione. Il pdf del lavoro del team italiano, intitolato Compliance
Programs for the prevention of economic crimes è scaricabile qui:
http://www.penalecontemporaneo.it/materia/5-/-/-/3375responsabilit___dell___ente_e_compliance_aziendali__un___indagine_statistica/
608
Precisamente gli Autori affermano: «per di più (esclusa la già prevista frode informatica
ai danni dell'Stato) gli altri delitti indicati dall'art. 24 bis del decreto n. 231, non
appartengono alla vocazione tipica d'impresa o dell'ente. La fenomenologia ricostruita in
tema di criminalità informatica consente di stabilire che la massima parte di essi vengono
commessi da individui singoli o da gruppi non strutturati in forma societaria, ovvero da
soggetti collegati agli enti, ma nel proprio esclusivo interesse», Ibidem, p. 191.
295
in conclusione si afferma: «per rispettare a fondo gli obblighi derivanti
dall'art. 24 bis sarebbe necessario adottare misure e controlli
particolarmente impegnativi e tali, comunque, da non garantire la
prevenzione in senso globale, per la peculiarità della materia che, a mio
parere, doveva rimanere estranea alle disposizioni del decreto n. 231,
ovvero, essere limitata ad una serie di reati informatici che
statisticamente risultino commessi con frequenza dall'ente nel proprio
interesse»609.
A queste critiche altra parte della dottrina, nonché molta parte dei
professionisti di settore, replica che l’introduzione dell’articolo 24 bis
all'interno del d.lgs. 231/2001, al contrario è una scelta saggia, da vedersi in
un'ottica preventiva, in un presente (ed un futuro) in cui lo sviluppo delle
tecnologie è destinato ad aumentare esponenzialmente. Un autorevole Autore
afferma come il fondamento politico criminale dell'art. 24 bis risieda nella
persona giuridica come «referente criminologico» privilegiato in materia di
reati informatici, dato che «tali delitti il più delle volte sono commessi
nell'ambito delle attività di persone giuridiche o enti, le cui (spesso ingenti)
risorse economiche o materiali vengono frequentemente strumentalizzate a fini
illeciti»610.
Secondo il Sostituto Procuratore della Repubblica del pool reati
informatici del Tribunale di Milano: «attraverso l'introduzione del modello
organizzativo ex d.lgs. 231/2001 il legislatore ha voluto non tanto creare una
forma di riparo dall'ente dall'applicazione di sanzioni previste, quanto
sollecitare l'ente stesso ad organizzare proprie strutture ed attività in modo da
assicurare adeguate condizioni di salvaguardia degli interessi penalmente
609
Ibidem, p. 192.
F. RESTA, Cybercrime e cooperazione internazionale nell'ultima legge della legislatura,
in Giur. Merito 2008 p. 2157.
610
296
tutelati» e questo «comporta una sostanziale rivoluzione della cultura
organizzativa delle aziende»611.
Infine, professionisti del settore612, affermano come considerare i reati
informatici come residuali e di scarsa importanza in confronti agli altri reati
presupposto contenuti nel d.lgs. 231/2001(come in effetti avviene) sia una
“forma di ignoranza”, in quanto il reato informatico ha la caratteristica unica
di essere trasversale a qualsiasi altro reato. Questa caratteristica si concretizza
in due aspetti: prima di tutto il reato informatico può essere commesso da
chiunque (dal portiere, al magazziniere, al top manager), in secondo luogo essi
non vanno visti come ambito a sé, di conseguenza il settore IT aziendale non
va ghettizzato, ma deve permeare e assorbire tutti i flussi informativi ed essere
tenuto al corrente delle attività societarie (se non addirittura coinvolto
nell'organismo di vigilanza) in quanto l'area di rischio informatico è per sua
natura molto estesa. Il reato informatico è quindi trasversale e propedeutico
alla commissione di altri reati classici: si pensi all'aggiotaggio o all'abuso di
informazioni privilegiate commessi grazie a reati informatici anteriori e
concatenati a questi, come l'intercettazione o l'accesso abusivo a sistema; in
alcuni casi invece, come la frode e il falso documentale, il legislatore ha
voluto prevedere una fattispecie di reato ad hoc quando esso si ponesse in atto
a mezzo di strumenti informatici come il 640 ter c.p o il 491 bis c.p.
611
M. CARDUCCI, op. cit., p. 314, 315.
Si fa qui riferimento ai relatori di un convegno organizzato dalla fondatrice del network
www.consulentelegaleinformatico.it, l'Avv. V. FREDIANI, insieme a DI&P e patrocinato da
AIPSI (associazione italiana professionisti sicurezza informatica), dal titolo “Dei delitti
[modello 231] e delle pene: la sicurezza fa quadrato!” tenutosi il 15 Ottobre 2013 allo
Spazio Mondadori di Via Marghera, 28, Milano. Nell'occasione si è discusso del d.l. cd. antifemminicidio n.93 del 14 agosto 2013, poi decaduto (sotto il Governo Letta) nella parte che
interessava il d.gls 231/2001, che avrebbe dovuto ampliare la rosa dei dei reati di cui al 24
bis, inserendo anche i delitti privacy (art. 167 trattamento illecito di dati, art. 168 falsità nelle
dichiarazioni o notificazioni al Garante e art. 170 l’inosservanza di provvedimenti del
Garante del d.lgs. 196/2003, oltre ai i delitti di cui all’articolo 55, comma 9 del decreto
legislativo 21 novembre 2007, n. 231 e la frode informatica con sostituzione d’identità
digitale, tuttora esclusi dalla compliance 231. Hanno partecipato E. MOLTENI, Presidente
AISPI, Avv. V. FREDIANI, e membri di OdV e ICT Manager di alcune società operanti in
italia (Jungheinrich italiana s.r.l. Eris Consulting e Quadrifoglio S.p.a.).
612
297
Secondo questa impostazione di pensiero, la compliance 231 andrebbe
vista come un'opportunità di riorganizzazione interna aziendale ed accolta
come una sfida positiva, non come un onere. Non solo, andrebbero delineate
nuove figure più competenti e consapevoli in materia nelle aziende come il
chief digital officer e “se le PMI non se lo possono permettere dovrebbero
almeno considerare una figura a questo ispirata, anche in maniera sporadica”. I
reati informatici sono in aumento, dunque i manager dovrebbero riuscire a
rispondere alla sfida di trasformare la minaccia in una opportunità di rivedere i
processi di decision making, i flussi informativi e i processi, in questo modo si
crea efficienza. La tecnologia ICT rappresenta un asset determinante per la
competitività aziendale e deve essere gestita in modo ottimale, non trascurata
o relegata ad ambito di serie B.
Inoltre, anche la dottrina contraria, è costretta ad ammettere che in ambito di
concorrenza sleale e spionaggio industriale (per carpire il know how aziendale
della concorrenza) i reati informatici sono all'ordine del giorno, il fatto che
non vengano denunciati non significa che non siano commessi.
Premessi queste osservazioni complessive circa l'art. 24 bis d.lgs. 231/2001 è
ora possibile analizzare più a fondo il testo di legge, che così recita:
Delitti informatici e trattamento illecito di dati
In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del
codice penale, si applica all’ente la sanzione pecuniaria da cento a
cinquecento quote.
In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a
trecento quote.
In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640quinquies del codice penale, salvo quanto previsto dall’articolo 24 del
presente decreto per i casi di frode informatica in danno dello Stato o di altro
ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento
quote.
298
Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le
sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei
casi di condanna per uno dei delitti indicati nel comma 2 si applicano le
sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei
casi di condanna per uno dei delitti indicati nel comma 3 si applicano le
sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
Come si vede la norma è articolata in 4 commi. I primi tre commi
prevedono le sanzioni pecuniarie per la commissione dei reati informatici; il
quarto le sanzioni interdittive per il caso di condanna per tali reati613.
Da una prima analisi del testo dell'art. 24 bis, senza soffermarsi ancora
sul contenuto, appaiono tuttavia alcune evidenti alcune aporie:
la creazione di una disposizione ad hoc relativa ai delitti informatici
denuncia una disomogeneità sistematica del plesso normativo. Le
fattispecie di reato contemplate dal d.lgs. 231/2001, infatti, come si è
detto, conoscevano già ipotesi a matrice informatica ben prima del
2008, ovvero fin da subito, la fattispecie di frode informatica aggravata
(a danni dello Stato o altro ente pubblico) ex art 640 ter c.p. prevista
all'art. 24 del d. lgs. 231/2001, nonché l'art. 25 quinquies del decreto
che già dal 2003 prevede la responsabilità dell'ente per il reato punito
dall'art. 600 quater-1 c.p. rubricato pornografia virtuale614. Si sarebbe
auspicato, invece, la creazione di una fattispecie unitaria615.
613
Nel successivo paragrafo § 3.2 si analizzeranno le fattispecie contenute nell'art. 24 bis
d.lgs. 231/2001 in modo specifico, comprese l'apparato sanzionatorio per essi stabilito. Per
una panoramica complessiva su questi reati si veda C. SANTORIELLO, I reati informatici
dopo le modifiche apportate dalla legge 48/2008 e la responsabilità degli enti, in La
responsabilità amministrativa delle società e degli enti, n. 1, 2011, pp. 211 ss.
614
Così BELLUTA, op.cit., p. 87, nota 12; M. CARDUCCI, op.cit., p. 306 afferma (come si
è visto supra al § 3.1. 3) che tra le novità della legge 48/2008 c'è la cd. distrettualizzazione
dei reati informatici, ovvero l'attribuzione al Pubblico Ministero distrettuale delle indagini
che concernono tutti i reati informatici in senso stretto, tra i quali anche la frode informatica
ex 640 ter c.p. (art. 51 c.p.p. comma 3 quinquies) e che «l'unica ragione logica di tale nuova
attribuzione investigativa, che non era prevista né tanto meno imposta dalla Convenzione di
Budapest, non può essere quella di incentivare la creazione di pool specializzati di magistrati
del Pubblico Ministero e di appartenenti alla Polizia Giudiziaria (e ciò sarebbe stato
presuntivamente più agevole nelle Procure Distrettuali) e di eventualmente consentire un
miglior monitoraggio dei fenomeni delittuosi informatici attraverso un maggior
299
In secondo luogo, contrasta con l'art. 3 della Costituzione l'omessa
previsione della responsabilità della persona giuridica nel caso in cui la
frode informatica sia posta in essere in danno di un privato616 , nonché
l'omessa inclusione nell'art. 24 bis d.lgs. 231/2001 del delitto di cui al
495 bis c.p., ossia la falsa dichiarazione o attestazione
resa al
certificatore di firma elettronica sull'identità o su qualità personali
proprie o di altri. Tali reati appaiono ben suscettibili di essere commessi
nell'interesse o a vantaggio dell'ente, da apicali o subordinati.
Si sottolinea come non sia possibile includere tali fattispecie in via di
una interpretazione estensiva, in quanto il principio di legalità fissato
all'art. 2 del d.lgs. 231/2001, con il suo corollario di tassatività non
permette tale manovra riparatoria.
In terzo luogo la lettura della rubrica dell'articolo in esame, recitando
“Delitti informatici e trattamento illecito di dati” conduce ad
un’aspettativa, ovvero a quella di un riferimento agli illeciti penali
inclusi nel d.lgs. 196/2003 (cd. Codice Privacy) nel testo della norma e
in particolare, all’articolo 167 cd. d.lgs. 196/2003 rubricato appunto
coordinamento delle azioni di contrasto», quindi, conclude l'Autore «l'esclusione della frode
informatica non aggravata non può essere né casuale né erronea (come dire una mera
dimenticanza come tante contenute in questa legge) ma piuttosto una scelta di politica
criminale», non potendo esserci altra spiegazione (tacciono sul punto i lavori parlamentari e
la relazione alla legge) per l'esclusione a priori della possibilità di svolgere indagini in
relazione al reato di cui al 640 ter c.p. ovvero «a quella che è l'ipotesi di lavoro delle Procure
della Repubblica di gran lunga più frequente e statisticamente impegnativa». Si pensi infatti
alle truffe telefoniche, che implicano bollette telefoniche gonfiate da chiamate mai effettuate
o per connessioni internet a numeri cd. a valore aggiunto con prefisso 709, 899 o chiamate
satellitari/internazionali su prefissi 00.
Contra G. AMATO - V.S. DESTITO - G. DEZZANI - C. SANTORIELLO, I reati
informatici: nuova disciplina e tecniche processuali di accertamento, Cedam, 2010, p. 238,
per i quali l'omissione della frode informatica non aggravata (e del reato di cui al 495 bis
c.p.) nell'art. 24 bis d.lgs. 231/2001 non è una scelta di politica criminale, ma semplicemente
una svista inconsapevole che provoca una disparità di trattamento irragionevole.
615
Così G. MORGANTE, sub. art. 7, in Commento articolo per articolo alla l. 18/3/2008, n.
48, in Legisl. pen., 2008, p. 279
616
Ciò appare ancora più irragionevole ove si consideri che l'art. 24 bis, nel determinare la
responsabilità dell'ente per il reato presupposto di frode informatica del certificatore non
differenzia sulla base della natura pubblica o privata del soggetto passivo. Ibidem
300
“Trattamento illecito di dati”617. L'aspettativa rimane tuttavia delusa,
perché non vi è traccia di questa disposizione nel testo dell’articolo 24
bis e in forza del principio di tassatività, si esclude la possibilità di
estensione a questo reato della norma in esame618.
La discrasia tra la rubrica e il testo dell'art. 24 bis d.lgs. 231/2001 è
l'occasione per una riflessione circa l'opportunità futura dell'inserimento
di “reati privacy” all'interno del “sistema 231”, andando così verso una
possibile maggiore integrazione e convergenza tra il sistema di gestione
L’articolo così recita: “Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in
applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da
sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione
da sei a ventiquattro mesi.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione
di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se
dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
618
S. BELTRANI, Reati informatici e d.lgs. 231/2001 alla luce della legge di attuazione
della Convenzione di Budapest, in La responsabilità amministrativa delle società e degli enti,
n. 4. 2008, pp. 24 ss, ritiene che l'omessa previsione delle citate fattispecie sia il risultato di
«sviste inconsapevoli (lo conferma il silenzio tombale sul punto dei lavori preparatori»;
ancora SARZANA DI S. IPPOLITO, La legge di ratifica alla Convenzione di Budapest,
op.cit., p. 1572, afferma, riguardo alla discrasia tra la rubrica dell'art. 24 bis d.lgs. 231/2001 e
l'omissione nel testo del riferimento al delitto di trattamento illecito di dati di cui all'art. 167
d.lgs. 196/2003, che la ragione della mancata corrispondenza si trovi in un «residuato
bellico; il riferimento è ad una precedente norma, introdotta nel corso dei lavori di
elaborazione del d.d.l. n. 2807 svoltisi al Ministero di Giustizia, presumibilmente su
sollecitazione del Garante per la protezione dei dati personali. Ed infatti il secondo comma
della prima bozza dell'articolo del disegno di legge, redatta in quella sede, recitava: “In
relazione alla commissione del delitto di cui all'articolo 167 del decreto legislativo 30
giugno 2003, n. 196, si applica all'ente la sanzione pecuniaria di 300 quote”»; anche il
Sostituto Procuratore della Repubblica M. CARDUCCI (pool reati informatici) si pronuncia
sul punto rilevando l'incongruenza tra rubrica e testo dell'art. 24bis affermando che: «il
riferimento in rubrica era (...) coordinato con il testo precedente della norma, poi modificato
nel prosieguo del lavori parlamentari, il che la dice lunga sulla attenzione che il legislatore
del 2008 ha posto nella elaborazione della legge di ratifica in commento», ma in relazione
all'art. 167 del Codice Privacy aggiunge: «non vi è traccia nel testo di tale (...) reato, perché
infatti non doveva esserci in quanto non inserito deliberatamente nella Convenzione di
Budapest ed anche perché non è un delitto informatico», quindi secondo l'Autorevole autore
forse sarebbe più consono un abrogazione della rubrica dell'art. 24 bis nella parte relativa
all'art. 167 Codice Privacy, piuttosto che un'introduzione del trattamento illecito di dati, un
reato non informatico, nel testo dell'art. 24bis 231/2001 dedicato ai delitti informatici, così
M. CARDUCCI, op.cit., p.305.
617
301
della privacy aziendale e quello di gestione della “normativa 231”619,
direzione in cui probabilmente sta andando il Regolamento Europeo
sulla Privacy che verrà approvato con molta probabilità intorno ad
maggio 2015 (e che entrerà in vigore solo nel 2017, dopo un periodo di
due anni di adeguamento negli Stati membri), abrogando così una
direttiva vecchia di vent'anni (95/46/CE, art. 91). 620
§ 2 ANALISI DELLE FATTISPECIE DI DELITTI INFORMATICI
INSERITI NEL “SISTEMA 231”
§ 2.1 I reati contenuti nell'art. 24 bis § 2.2 Non solo sanzioni pecuniarie: le
sanzioni interdittive ex art. 24 bis e alcune riflessioni sull'applicazione delle
misure cautelari relative ai computer crimes § 2.3 Le disposizioni non più
presenti nell'art. 24 bis: le occasioni perse § 2.4 Le disposizioni
ingiustificatamente assenti dall'art. 24 bis § 2.5 Altre fattispecie rilevanti nel
d.lgs. 231/2001: i reati “eventualmente informatici” § 2.6 L'assenza di
giurisprudenza sull'applicazione dell'art. 24 bis.
«“Responsabilità Amministrativa degli Enti per Delitti Informatici” e “Protezione dei Dati
Personali”: due normative che si compenetrano e si integrano sul piano operativo, con il
limite estremo di non toccarsi mai da un punto di vista interpretativo. A seguito della ratifica
della “Convenzione di Budapest del 23 Novembre 2001” e dell'emissione del
“Provvedimento Generale dell'Autorità Garante per la Protezione dei Dati Personali del 27
Novembre 2008” (quest'ultimo rende obbligatoria la formalizzazione del ruolo
dell'amministratore di sistema, n.d.r.) è stato dato avvio ad un lungo processo di integrazione
e convergenza tra responsabilità amministrativa dell'Ente per delitti informatici e
responsabilità civile e penale del Titolare per il trattamento illecito di dati». Così,
E.FALZONE, Responsabilità amministrativa degli enti per delitti informatici e trattamento
illecito di dati compiuto da amministratori di sistema, in Cyberspazio e diritto n. 1, 2011,
vol. 12, pp. 89-102.
620
Tale processo di convergenza è stato interrotto dapprima con l'abolizione del DPS
(Documento Programmatico sulla Sicurezza) con il d.l. 5 febbraio 2012, n.5 in materia di
semplificazioni e successivamente riabilitato con il d.l. anti-femminicidio (14 agosto 2013, n.
93) che, seppur in una sede poco consona, inseriva (tra le altre cose) i reati privacy all'interno
del 24 bis d.lgs. 231/2001, poi di nuovo interrotto con l'abrogazione della parte relativa al
Codice Privacy in esso contenuta, in sede di conversione in legge (l. 119/2013) ed infine,
ora, di nuovo si apre uno spiraglio per l'integrazione del “sistema di gestione privacy” e il
“sistema di gestione 231” grazie al nuovo Regolamento Europeo sulla Privacy, che dovrebbe
essere varato prima della metà del 2015, sostituendo una vecchia direttiva.
619
302
“If you spend more on coffee than on information security, you will be hacked.
What's more, you deserve to be hacked”
Richard A. Clarke621.
§ 2.1 I REATI CONTENUTI NELL'ART. 24 BIS D.LGS. 231/2001
§ 2.1.1 PRIMO COMMA
Si può quindi procedere con l'analisi approfondita delle fattispecie contenute
nell'art. 24 bis.
Il primo comma dell'art. 24 bis, punisce con la sanzione pecuniaria da cento a
cinquecento quote622 i delitti di cui agli articoli: 615 ter c.p. (accesso abusivo a
sistema informatico), 617 quater c.p. (intercettazione, impedimento o
interruzione illecita di comunicazioni informatiche o telematiche), 617
quinquies c.p. (installazione di apparecchiature atte ad intercettare, impedire o
interrompere comunicazioni informatiche o telematiche), 635 bis c.p.
(danneggiamento di informazioni, dati e programmi informatici), 635 ter c.p.
(danneggiamento di informazioni, dati e programmi utilizzati dallo Stato o da
altro ente pubblico o comunque di pubblica utilità), 635 quater c.p.
(danneggiamento di sistemi informatici o telematici), 635 quinquies c.p.
(danneggiamento di sistemi informatici o telematici di pubblica utilità).
621
R. A. CLARKE (Dorchester,1950) è stato responsabile per la sicurezza, consulente circa
la cybersecurity, nonché capo della divisione antiterrorismo alla Casa Bianca sotto ben tre
presidenze: R. Reagan, B. Clinton e G.W. Bush. Ha lasciato il suo incarico nel 2003, dopo
diverse manifestazioni di dissenso (si veda anche suo libro Against All Enemies) in merito
all'amministrazione Bush, all'intrapresa guerra in Iraq e alle politiche anti-terrorismo
precedenti l'undici settembre. In seguito ha insegnato presso la Harvard Kennedy School e ha
scritto diversi libri, http://www.richardaclarke.net/.
622
O. DI GIOVINE, Lineamenti sostanziali del nuovo illecito punitivo, in G. LATTANZI (a
cura di), Reati e responsabilità degli enti. Guida al d.lgs. 8 giugno 2001, n. 231, Milano,
2010, p. 8, afferma come il sistema di commisurazione della pena pecuniaria utilizzato nel
d.lgs. 231/2001 sia di ispirazione germanica e si riferisca al cd. Tagessystem, definito da E.
MUSCO, Le imprese a scuola di responsabilità tra pene pecuniarie e misure interdittive, in
Dir. giust., 2001, p.8, come un «sistema di pena pecuniaria a tassi giornalieri».
303
Il comune determinatore di tali fattispecie è costituito dal concetto di
danneggiamento623, inteso come aggressione alla componente hardware o
software di un sistema informatico, al fine di alternarne o impedirne il regolare
funzionamento.
A) L'accesso abusivo a sistema
Cominciamo con l'analizzare l'art. 615 ter c.p., rubricato “accesso
abusivo a sistema informatico o telematico”.
Di pari passo con lo sviluppo delle tecnologie informatiche si è diffuso il
fenomeno delle aggressioni ai danni di sistemi informatici da parte di
soggetti624 che, dotati di approfondite conoscenze informatiche, si introducono
abusivamente nei sistemi informatici superando le eventuali misure di
protezione e provocando, a volte per puro spirito emulativo, danni anche di
rilevante entità625. L'art. 615 ter c.p. punisce l'accesso abusivo a un sistema
623
DEZZANI, Una nuova ipotesi di reato degli enti collettivi, op. cit., p. 73; nello stesso
senso BELLUTA, Cybercrime e responsabilità degli enti, op. cit., p. 93; riguardo alle
fattispecie di danneggiamento da un punto di vista sostanziale si veda S. ATERNO, Le
fattispecie di danneggiamento informatico, in L. LUPARIA (a cura di), Sistema penale e
criminalità informatica, op.cit., pp. 35 ss. Il fatto che il danneggiamento informatico
rappresenti il tratto comune delle fattispecie in oggetto è pacifico in riferimento alle
fattispecie di cui al 635 bis e 617 quater, mentre occorrono alcune precisazioni circa le
fattispecie di cui all'art. 615 ter e 615 quinquies. Per tali due ultime fattispecie, infatti, non si
può affermare che siano di per sé in grado di danneggiare un sistema informatico. Quindi, se
il danno vuole essere assunto a elemento tipico di siffatte ipotesi di reato deve essere
necessariamente assunta una concezione in potenza. L'accesso abusivo e la detenzione di
apparecchiature atte ad intercettare non producono un danno, tuttavia si tratta pur sempre di
condotte che consentono o agevolano l'alterazione, la distruzione di informazioni,
programmi, dati, ovvero sistemi informatici o telematici.
624
Secondo la ricostruzione operata da G. DEZZANI, Una nuova ipotesi di reato degli enti
collettivi: la criminalità informatica, in La responsabilità amministrativa delle società e degli
enti, n.3, 2008, pp. 71 ss. generalmente si identificano gli hacker e i cracker. I primi,
deontologicamente corretti, commettono il reato di accesso al solo scopo di dimostrare che il
sistema è violabile e non danneggiano il contenuto, inteso come dati. Ovviamente, però,
alterano parti del codice o forzano sistemi di protezione per portare a compimento il loro
attacco al sistema. I secondi invece accedono al sistema con il preciso scopo di danneggiarne
il contenuto. La legislazione punisce entrambe le figure, a prescindere dall'azione che
consegue all'accesso. Per un interessante contributo sul punto si veda E. GENTILI,
Corporate Security: giro di vite contro gli hacker, SMAU, Bologna 2012
http://www.smau.it/speakers/emanuele.gentili/.
625
Il legislatore, anche sulla spinta della Convenzione di Budapest, ha introdotto uno
strumento sanzionatorio idoneo a fungere da deterrente rispetto ad azioni illecite dirette a
304
informatico o telematico, ovvero sanziona la condotta di chi abusivamente si
introduce in un sistema informatico o telematico protetto da misure di
sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il
diritto di escluderlo626.
Problematica e foriera di dibattiti, tanto in dottrina, quanto giurisprudenza è
l'individuazione del bene giuridico tutelato dalla norma oggetto di analisi e il
consequenziale dibattito circa quale collocamento specifico debba avere la
norma in esame nel codice penale627; questo nonostante nella relazione di
accompagnamento al disegno di legge, il legislatore illustri le ragioni che
hanno portato alla collocazione del reato tra quelli contro l'inviolabilità del
domicilio, dottrina e giurisprudenza hanno sollevato diversi interrogativi.628
La dottrina tradizionale, in parte sposata anche dalla Cassazione, ritiene che il
bene giuridico tutelato sia il domicilio informatico629. Esso viene definito
come un'estensione ideale del domicilio tutelato dall'art. 14 Cost., che appare
delimitato da confini virtuali di pertinenza esclusiva dell'individuo630. A
minare la segretezza, integrità e disponibilità dei sistemi informatici, delle reti e dei dati,
ovvero ad utilizzarli in modo improprio, punendo non solo gli accessi abusivi, ma colpendo
anche in via preventiva le condotte prodromiche considerate già di per se stesse pericolose.
626
Un'analisi approfondita del reato viene operata da E. FARCI, L’accesso abusivo ad un
sistema informatico telematico, in F. DELFINI - G. FINOCCHIARO, Diritto
dell’informatica, Utet, 2014, pp. 1095 e ss.
627
C. SANTORIELLO - G. DEZZANI, Il reato di accesso e trattenimento “abusivi” nel
sistema informatico e la responsabilità amministrativa delle persone giuridiche, in La
responsabilità amministrativa delle società e degli enti, n. 1, 2012, pp. 57 ss.
628
Si ritiene infatti di trovarsi di fronte ad: “un'espansione ideale dell'area di rispetto
pertinente al soggetto interessato, garantita dall'articolo 14 della Costituzione e penalmente
tutelata nei suoi aspetti più essenziali tradizionali dagli articoli 614 e 615 c.p.”, così la
Relazione di accompagnamento al d.d.l. 2773, presentato al Senato della Repubblica il
26/03/1993 e successivamente trasferito alla Camera dei deputati in data 11/06/1993. La
dottrina e la giurisprudenza hanno manifestato le loro perplessità sul punto: per la prima si
segnala G. CORRIAS LUCENTE, Brevi note in tema di accesso abusivo e frode
informatica: uno strumento per la tutela penale dei servizi, Dir. inf., 2001, pp. 492 ss.; per la
giurisprudenza si richiama Cass. pen. 4 ottobre 1999.
629
A riguardo V. SPAGNOLETTI, Art. 615 ter c.p.: il domicilio informatico tra profili
dogmatici e problemi applicativi, in Giur. merito, fasc.1, 2004, pp. 181 ss.; G. D'AIETTI, La
tutela dei programmi e dei sistemi informatici, in R. BORRUSO - G. BUONOMO - G.
CORASANITI - D'AIETTI, Profili penali dell'informatica, Milano, 1994, p. 68.
630
In questo senso L. CUOMO, La tutela penale del domicilio informatico, in Cass. pen.,
2000, p.2998. In giurisprudenza, si veda Cass., sez. VI, 4 ottobre 1999, in Foro it., 2000, II,
p. 133; C. SANTORIELLO - G. DEZZANI, Il reato di accesso e trattenimento abusivi nel
305
sostegno di questa ricostruzione si rinverrebbe la collocazione sistematica
della norma tra i delitti contro l'inviolabilità del domicilio, proprio come
evidenziato dalla Relazione. Il domicilio informatico altro non sarebbe,
dunque, che una longa manus dell'individuo, strumento attraverso cui egli
esprimerebbe la propria personalità, al pari di quanto avviene con il domicilio
fisico.
La dottrina minoritaria, al contrario, ritiene che il legislatore abbia inteso
tutelare l'integrità dei sistemi informatici e telematici e dei dati o programmi in
essi contenuti. La critica principale a questa teoria è che essa aggiunge, quale
elemento costitutivo del reato, un elemento non previsto dal legislatore, dato
dalla finalità dell'accesso, tesi smentita anche dalle Sezioni Unite del 2011631.
Venendo alla struttura del reato, da una semplice lettura della norma si
comprende come soggetto attivo del reato possa essere chiunque, trattandosi
dunque di delitto comune che per la fattispecie di cui al primo comma è
punibile a querela della persona offesa.
Il legislatore distingue due condotte al verificarsi delle quali è subordinata
l'applicazione della sanzione. La prima è data dall'introduzione abusiva di un
soggetto all'interno di un sistema informatico o telematico protetto da misure
di sicurezza. La seconda, invece, si concretizza nella permanenza all'interno
del sistema, ugualmente protetto da misure di sicurezza, contro la volontà
espressa o tacita del titolare dello ius excludendi alios. In questo modo
vengono sanzionate non solo le condotte tipicamente proprie di hacker o
sistema informatico e la responsabilità amministrativa delle persone giuridiche, in La
responsabilità amministrativa delle società e degli enti, n.1, 2012, pp. 58 ss.
631
Cass. Sez. Un., 27 ottobre 2011 (dep. 7 febbraio 2012), n. 4694 .Si veda infra qui di
seguito. Secondo un'altra impostazione dogmatica, oggetto della tutela penale sarebbe la
riservatezza dei dati contenuti nei sistemi informatici o telematici. Inaccettabile conseguenza
di questa tesi sarebbe quello di dover considerare non meritevoli di tutela tutti quei sistemi
privi di dati, oppure contenenti dati pubblici, non riservati. Inoltre, va rammentato come il
legislatore, nel delineare la fattispecie incriminatrice non abbia inserito alcun riferimento ai
dati contenuti nel sistema, nemmeno a livello di elemento soggettivo per integrare il dolo
specifico. Entrambe le tesi minoritarie, quindi, errano nel trasferire la protezione che la
norma assicura al sistema ai suoi contenuti, nonché nell'introdurre all'interno della fattispecie
requisiti che, assenti dalla stessa, non possono considerarsi come necessariamente impliciti.
306
cracker esperti ed esterni, ma anche quelle poste in essere da dipendenti o
collaboratori (cd. insider), i quali accedono legittimamente ad un sistema, in
quanto possessori di codici di accesso rilasciati dal titolare, ma si trattengono
poi all'interno dello stesso svolgendo attività diverse rispetto a quelle per cui
l'accesso è stato loro autorizzato, con conseguente violazione delle prescrizioni
impartite dal titolare del sistema. Statisticamente, inoltre, gli addetti al settore
rilevano che sono più frequenti e pericolose le intrusioni poste in essere dai
cosiddetti insider che utilizzano le proprie credenziali di accesso
legittimamente detenute per accedere a dati o programmi e utilizzarli oltre le
finalità loro consentite. 632
Una particolare attenzione è stata dedicata dalla giurisprudenza alla
qualificazione giuridica della condotta posta in essere da colui il quale risulta
essere in possesso delle chiavi di accesso ai sistemi e che quindi sia abilitato e
legittimato all'accesso. Sulla questione, molto dibattuta, sono intervenute le
Sezioni Unite633, che hanno stabilito come la qualificazione giuridica della
632
Tuttavia, secondo uno studio recente, le aziende non se ne rendono ancora conto e
continuano a improntare la propria sicurezza in un ottica di potenziali attacchi esterni, come
virus e malware. Cfr. PONEMON INSTITUTE LLC, The risk of insider fraud, second
annual study, february 2013: «the majority of organizations are not assigning the
appropriate priority to the risk of insider fraud».
633
Cass., Sez. Un., 27 ottobre 2011 (dep.7 febbraio 2012), n. 4694, Pres. Lupo (in Guida dir.,
2012, p.84) la cui massima afferma che: «integra la fattispecie criminosa di accesso abusivo
ad un sistema informatico o telematico protetto, prevista dall'art. 615 ter c.p., la condotta di
accesso o di mantenimento nel sistema posta in essere da soggetto che, pur essendo abilitato,
violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare
del sistema per delimitarne oggettivamente l'accesso. Non hanno rilievo, invece, per la
configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso
al sistema. L'ipotesi dell'abuso delle qualità specificate dall'art. 615 ter, comma secondo, n.1,
c.p., costituisce una circostanza aggravante delle condotte illecite descritte al primo comma e
non un'ipotesi autonoma di reato. Si segnalano sul punto alcune note a sentenza: R.
BARTOLI, L'accesso abusivo a un sistema informatico (art. 615 ter c.p.) a un bivio
ermeneutico teleologicamente orientato, in Riv. trim. www.penalecontemporaneo.it; sulla
stessa sentenza S. LOGROSCINO, Il delitto di accesso abusivo a un sistema informatico o
telematico da parte del soggetto abilitato all'accesso, in Riv. pen, n.4, 2012, pp. 389 ss.; C.
CINQUE, L'interpretazione estensiva in tema di accesso abusivo a sistemi informatici o
telematici ex art. 615 ter c.p.: possibili profili incostituzionali della norma alla luce della
recente sentenza delle Sezioni Unite n.4694/2012, in Riv. Pen, n. 7 e 8, 2012, pp. 766 ss.
Si rinvia, per maggiori approfondimenti analitici su tale fattispecie a R. FLOR, Art. 615 ter
c.p.: natura e funzioni delle misure di sicurezza, consumazione del reato e bene giuridico
protetto, in Dir. pen. proc., n.1, 2008, pp. 106 ss.; C. SANTORIELLO - G. DEZZANI, Il
307
condotta posta in essere dal soggetto, che si trova legittimamente in possesso
delle credenziali di accesso al sistema, configuri il reato di accesso abusivo, ai
sensi dell'articolo 615 ter c.p., tutte le volte in cui vengano oggettivamente
violate le disposizioni date dal titolare dello ius excludendi alios634.
Il reato di accesso abusivo si realizza nei casi in cui l’accesso al sistema
informatico o telematico, protetto da misure di sicurezza, sia effettuato
“abusivamente” ovvero il soggetto agente permanga all'interno del sistema
“contro la volontà espressa o tacita” di chi è titolare del diritto di escluderlo.
Il significato delle due espressioni virgolettate, come già per altri elementi
legati a questo reato, ha suscitato profondi dibattiti. Secondo una corrente
interpretativa l’avverbio “abusivamente” andrebbe riferito al solo accesso,
mentre altra dottrina ritiene che le due espressioni siano pleonastiche e
reato di accesso e trattenimento “abusivi” nel sistema informatico e la responsabilità
amministrativa delle persone giuridiche, in La responsabilità amministrativa delle società e
degli enti, n.1, 2012, pp. 57 ss.
634
La Cassazione infatti ha affermato che: «rilevante deve ritenersi, perciò, il profilo
oggettivo dell'accesso e del trattenimento nel sistema informatico da parte di un soggetto che
sostanzialmente non può ritenersi autorizzato ad accedervi ed a permanervi, sia allorquando
violi i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema, sia
allorquando ponga in essere operazioni di natura ontologicamente diversa da quelle di cui
egli è incaricato ed in relazione alle quali l'accesso era a lui consentito».
Le Sezioni Unite hanno sancito che le finalità che animano il soggetto agente sono
penalisticamente irrilevanti, così come è irrilevante il carattere di illiceità di quelle ulteriori
azioni compiute a seguito dell'accesso: ciò che assume rilievo determinante per la
configurabilità del delitto di cui al 615 ter c.p. sono le eventuali prescrizioni e condizioni
imposte dal titolare del sistema, le quali, a ben vedere, sono divenute a seguito
dell'intervento segnalato un vero e proprio presupposto oggettivo del reato (in questo senso
Cfr. C. PECORELLA, L'attesa pronuncia delle Sezioni Unite sull'accesso abusivo a un
sistema informatico: un passo avanti non risolutivo, in Cass. Pen., 2012, p. 3681). Nel
momento in cui il titolare del sistema formula delle prescrizioni che disciplinano le modalità
di accesso e limita quindi l'autorizzazione concessa a terzi, la violazioni di tali prescrizioni
consente di ritenere l'accesso abusivo, perché realizzato in contrasto con la volontà del
soggetto che ha il diritto di escluderlo.
Le Sezioni Unite, svolgendo la funzione nomofilattica che è loro propria, hanno così
messo il punto tra due orientamenti giurisprudenziali antitetici: il primo che affermava che
l'accesso di un soggetto abilitato per finalità contrarie ai propri compiti d'ufficio o per ragioni
difformi da quelle per le quali era autorizzato all'accesso era lecita in virtù della sola
autorizzazione, poiché la volontà contraria del titolare doveva essere accertata in riferimento
al solo risultato immediato della condotta posta in essere, ossia l'accesso e il suo
mantenimento nel sistema (Cfr. ex multis Cass., sez. VI, 8 ottobre 2008, n. 39290); il
secondo orientamento giurisprudenziale affermava invece che il carattere di abusività
dell'accesso risiedeva nella finalizzazione della condotta (Cfr. ex multis Cass. sez. V, 13
febbraio 2009, n. 18006).
308
utilizzate dal legislatore più per esigenze di forma e stile che per riflettere una
diversità nella sostanza. Tuttavia, appare evidente come il nucleo centrale del
delitto di cui all'articolo 615 ter c.p. sia la violazione della volontà del titolare
dello ius excludendi alios di limitare l'accesso di terzi al sistema. L'accesso, di
conseguenza, per rilevare penalmente, dovrà consistere in un abuso, in un
travalicamento della volontà del titolare, sia essa espressa o tacita635.
La mancanza del consenso deve permanere per tutta la durata della condotta
posta in essere dall'agente, sia in fase di accesso al sistema, sia in fase di
permanenza all'interno dello stesso da parte del soggetto abilitato che tuttavia
si trattenga per finalità differenti da quelle per le quali l'accesso gli è stato
concesso.
Diverso si presenterebbe invece il caso in cui l'operatore abbia accesso
soltanto ad alcuni dati del sistema, qualora questi acceda a dati appartenenti a
livelli differenti. Sarà infatti necessario valutare se il sistema in oggetto sia
stato strutturato in modo da evitare il diretto e immediato accesso a tali dati
(ad esempio richiedendo una ulteriore password, differente da quella in
possesso del soggetto agente). Solo in questo caso si potrebbe ritenere
integrato il reato in oggetto, poiché nella diversa ipotesi in cui, nonostante la
mancanza di autorizzazione all'accesso ai dati, non sia stata adottata alcuna
misura per escludere la libera disponibilità degli stessi, a chiunque fosse già
all'interno del sistema, mancherebbe l'elemento costituito dalle misure di
sicurezza e ciò anche qualora l'accesso a dati di un livello “superiore” fosse
avvenuto per finalità non consentite. In questo senso vi sarà una responsabilità
organizzativa oggettiva dell'amministratore del sistema che dovrà aver messo
in atto ogni possibile attività di monitoraggio e controllo sulle credenziali e i
635
Come sottolineato da E. MENGONI, Accesso autorizzato al sistema informatico o
telematico e finalità illecite: nuovo round alla configurabilità del reato, in Cass. Pen., n.6,
2011, pp. 2200 ss.
309
permessi di accesso, soprattutto attraverso una tempestiva disattivazione di
quelle non più utili636.
Per aversi il reato di cui all'articolo 615 ter c.p. è poi necessario che il sistema
informatico o telematico sia protetto da misure di sicurezza637.
La scelta del legislatore è stata quella di limitare la tutela ai sistemi protetti da
misure di sicurezza poiché, dovendosi tutelare il diritto di uno specifico
soggetto, è necessario che questi abbia dimostrato, con la predisposizione di
mezzi di protezione sia logica che fisica (materiale o personale) di voler
636
A questo proposito si veda E. FALZONE, Responsabilità amministrativa degli enti per
delitti informatici e trattamento illecito di dati compiuto da amministratori di sistema, in
Ciberspazio e diritto n. 1, 2011, vol. 12, pp.89-102 che differenzia gli “operatori di sistema”
dagli “amministratori di sistema” (figura quest'ultima reintrodotta da parte del Garante
Privacy con il Provvedimento del 27 novembre 2008) affermando che il Garante Privacy ha
tenuto a precisare che «non ha inteso equiparare gli operatori di sistema di cui agli articoli
del codice penale relativi ai delitti informatici, con gli amministratori di sistema» e che la
dottrina maggioritaria sostiene che l'operatore di sistema non è soltanto chi in via
continuativa o quantomeno non occasionale, si trova ad operare quale programmatore,
sistemista o analista sull'hardware o sul software di un sistema informatico, ma anche il
soggetto che di fatto, si trova nella condizione di poter intervenire direttamente o per
interposta persona, nell'esercizio e/o a causa delle sue funzioni, sui dati o sui programmi (ciò
a prescindere dalla natura intrinsecamente informatica dell'incarico svolto o del ruolo
ricoperto, sia dalla natura del rapporto con l'ente). Quindi secondo tale dottrina è ricompreso
nella figura dell'operatore di sistema chiunque sia legittimato ad operare sul sistema, anche
con qualifica di semplice addetto all'immissione di dati, o chiunque si trovi in una posizione
privilegiata, di garanzia e tutela del sistema nel suo insieme, egli gode in azienda di un
rapporto privilegiato e fiduciario derivante dal ruolo e dalla mansione aziendale ricoperta.
Stando a tale definizione di operatore di sistema e poiché «in una azienda dotata di un
sistema informatico sono sempre presenti dati informatici», ai fini della disciplina della
responsabilità amministrativa degli enti circa i delitti informatici, dovrà esserci almeno un
operatore di sistema che compia operazioni sui dati aziendali, mentre «a discrezione
dell'azienda potrà essere presente o meno un ‘amministratore di sistema’ ai sensi del
Provvedimento del 27 Novembre 2008». In un'azienda dotata di sistema informatico in cui
siano presenti dati personali dovrà sempre essere presente almeno un incaricato del
trattamento (la cui figura coinciderà con quella dell'operatore di sistema) e un amministratore
di Sistema.
Riepilogando «in un ‘sistema di gestione 231’ dovrà sempre essere prevista nei
modelli organizzativi la figura dell'operatore di sistema, mentre a seconda che siano presenti
nel sistema informatico dati personali o meno dovranno essere designati incaricati del
trattamento, amministratori di sistema e responsabili del trattamento».
637
L. CUOMO - B. IZZI, Misure di sicurezza e accesso abusivo ad un sistema informatico o
telematico, in Cass. pen., 2002, 4, p. 1021 definisce le misure di sicurezza come degli
accorgimenti tecnici volti ad impedire l'utilizzo del sistema da parte di persone non
autorizzate. Nel senso che le misure di sicurezza siano necessarie ai fini della configurazione
del reato in esame SARZANA DI S. IPPOLITO, L'accesso illecito alle banche dati ed ai
sistemi informatici pubblici: profili giuridici, in Dir. inf., n.2, 2007, p. 295. Concorde Cass.
sez. V, 8 luglio 2008, n. 37322.
310
espressamente riservare l'accesso o la permanenza nel sistema alle sole
persone da lui autorizzate. Il requisito della presenza di misure d sicurezza ha
creato difficoltà interpretative in quanto il legislatore non ha in alcun modo
definito la natura o l'intensità delle misure di sicurezza, con la conseguenza di
lasciare anche in questo caso il compito agli interpreti del diritto. Una parte
della dottrina e della giurisprudenza ha precisato che i termini utilizzati dal
legislatore sono, in questa sede, fuorvianti, essendo questi, nell'ambito
dell'ordinamento giuridico italiano, propri delle misure tipiche di prevenzione
speciale638. Più nel dettaglio è stato sollevato l'interrogativo se sia sufficiente,
per considerare protetto un sistema, la presenza di una semplice password,
oppure se siano da considerare tali anche le misure di protezione fisica degli
accessi ai locali in cui i sistemi si trovino, oppure ancora se siano sufficienti
delle misure organizzative tali da impedire l'accesso a determinate categorie di
soggetti, o ad una determinata tipologia di dati, ovvero ancora se sia necessaria
l'adozione di misure tecnologiche ad hoc volte limitare efficacemente gli
accessi al sistema.
In linea con quanto affermato da dottrina e giurisprudenza sono rilevanti, ai
sensi dell'articolo 615 ter c.p. tutte con le forme di protezione fisica o logiche
in grado di proteggere il sistema impedendo l'accesso a chiunque non sia
fornito di autorizzazione, indipendentemente dal maggior o minor grado di
complessità tecnica. Si rileva inoltre che, ai fini del perfezionamento del reato,
non è necessario che il soggetto agente violi dette misure di sicurezza, in
quanto a rilevare è il requisito della sussistenza delle misure di protezione che
il sistema deve possedere, non invece la violazione del sistema di sicurezza da
parte dell'agente639.
638
Sul punto si possono ricordare PESTELLI, Brevi note in tema di accesso abusivo ad un
sistema informatico o telematico, Cass. Pen., 2012,6, 2330.
639
Contra Cass. pen., 4 dicembre 2006, n. 6459 secondo cui per integrare il delitto di accesso
abusivo devono sussistere tanto le misure di sicurezza, quanto alla neutralizzazione delle
stesse da parte dell’agente.
311
La Cassazione640 è intervenuta a più riprese sulla questione stabilendo che la
violazione dei dispositivi di protezione del sistema informatico non assume
rilevanza di per sé, bensì solo come manifestazione di una volontà contraria a
quella del dominus del sistema stesso. Non si tratta perciò di un illecito
caratterizzato dall'effrazione di sistemi protettivi, ma si tratta di un illecito
caratterizzato dalla contravvenzione alle disposizioni del titolare. Per misura di
sicurezza può quindi intendersi un qualsiasi meccanismo di selezione dei
soggetti abilitati all'accesso al sistema informatico, anche quando si tratti di
strumenti esterni al sistema e meramente organizzativi. Saranno dunque
considerate misure di sicurezza rilevanti anche forme di sicurezza fisica come
locali muniti di serrature o porte blindate e non solo forme di sicurezza logica
come la prescrizione di un codice di accesso, l'esclusione del personale
impiegatizio (attraverso la rete interna del sistema) dall'accesso ai comandi
centrali per intervenire sui dati, ma anche un semplice sistema di firewall.
In conclusione, se da una parte è necessario che siano state apprestate misure
specifiche di sicurezza, in quanto ciò testimonia la volontà del titolare di
escludere accessi non autorizzati641, dall'altra parte le stesse non dovranno per
forza rivestire natura informatica (cd. sicurezza logica)642, dal momento che
640
Si richiamano Cass. pen., 7 novembre 2000, n. 12732; Cass. pen., 8 luglio 2008, n. 37332
e Cass. Pen., 4 maggio 2006, n. 30663.
641
R. FLOR, Art. 615 ter c.p.: natura e funzioni delle misure di sicurezza, consumazione del
reato e bene giuridico protetto, in Dir. pen. proc., n. 1, 2008, p. 111, afferma come la
predisposizione dei mezzi di protezione presenta «non solo la funzione diretta di provare la
mancanza di consenso (esplicito o implicito) del titolare del sistema, ma anche quella
indiretta strettamente connesso all'elemento soggettivo del reato, nella specie il dolo». Il
superamento degli ostacoli, virtuali o fisici, posti dal titolare del sistema, denota quindi
l'intenzionalità della violazione, la precisa volontà della persona di introdursi in esso
«abusivamente».
642
Del resto lo stesso legislatore ha previsto con la fattispecie aggravata indicata al numero 2
del secondo comma: “se il colpevole per commettere il fatto usa violenza sulle cose o alle
persone, ovvero se è palesemente armato” così art. 615 ter c.p., comma 2, n.2.; Cfr. Cass.,
sez. V, 7 novembre 2000, n. 12732, in Dir. inf., n. 1, 2001, pp.17 ss., per la quale anche in
mancanza di meccanismi di protezione informatica, commette il reato il soggetto che, privo
di abilitazione, acceda ai dati senza titolo o autorizzazione; Nella categoria delle misure di
sicurezza informatica si possono far rientrare una vastissima serie di misure, partendo dalla
semplice previsione di password sino ad arrivare ai più sofisticati sistemi biometrici quali
impronte digitali, timbro della voce o iride, che garantiscono un grado elevatissimo di
sicurezza. Per una ricostruzione in materia si vedano i materiali del corso di Sistemi
312
anche precauzioni di carattere organizzativo possono ritenersi idonee allo
scopo.
Riconosciuta la possibilità della sussistenza di misure di sicurezza
esterne al sistema, ne va comunque rigorosamente circoscritto l'ambito per
evitare di confondere il reato in questione rispetto alla più generale fattispecie
di violazione di domicilio, riconosciuta all'articolo 614 del codice penale.
Ai fini della configurabilità del reato previsto dall'articolo 615 ter c.p., infatti,
deve farsi riferimento a misure anche fisiche, ma che si riferiscano alle
modalità di utilizzazione di un sistema: si pensi alle misure organizzative
all'interno di un'azienda che prevedano un badge per accedere nell'area dove si
trovano i computer. Solo in questo caso le misure di sicurezza possono
ritenersi espressamente poste per impedire un uso abusivo del sistema, mentre
non potrebbe ritenersi sufficiente una generica chiusura dei locali dove si trova
il sistema, non assistita da altre specifiche misure protettive: in questo caso,
infatti, l'ingresso abusivo rientrerebbe nella disciplina della violazione di
domicilio di cui all'art. 614 c.p., qualora ne ricorressero i presupposti previsti
dalla legge643.
Naturalmente la neutralizzazione in concreto delle misure di sicurezza, che
costituisce elemento essenziale dell'accesso o trattenimento abusivo, può
concretizzarsi nella commissione di altri reati, contestabili in concorso: si può
pensare, ad esempio, ad un furto nel caso in cui l'agente si sia impossessato
previamente della chiavi di accesso al sistema (in questo caso una chiave fisica
o anche un badge) sottraendola all'avente diritto, oppure quando le misure
protettive siano state superate tramite un intervento sul software del sistema
(ad esempio per capire la password di accesso).
informativi, in particolare il capitolo “sicurezza” del Prof. F. AMARILLI presso la facoltà di
ingegneria gestionale del Politecnico di Milano; Cfr. G. BRACCHI, G. MOTTA, C.
FRANCALANCI, Sistemi Informativi per l’Impresa digitale, McGraw Hill, 2009; Cfr. F.
AMARILLI - D. ARDAGNA - M. FUGINI - R. TEDESCO, Impianti informatici, tecnologie
e applicazioni, McGraw Hill, 2007, in particolare, per un approccio tecnico alla sicurezza di
veda, pp. 283-337.
643
Come efficacemente osservato da G. AMATO - V.S. DESTITO - G.DEZZANI - C.
SANTORIELLO, I reati informatici, Cedam, 2010, p. 72.
313
Delineati gli elementi fondamentali dell'abusività è necessario definire
come e quando la condotta delittuosa di accesso abusivo possa dirsi
consumata, anche per identificare il locus commissi delicti.
Sulla questione va segnalata Cass. 27 maggio 2013, n. 40303 in cui si è
affermato che, ai fini della determinazione del luogo in cui il reato si consuma,
va tenuto in considerazione il luogo in cui si entra nel sistema, che non può
essere diverso dal luogo in cui il server si trova e non quello nel quale
vengono inseriti i dati idonei a penetrare nel sistema. Non rilevano dunque né
il luogo in cui l'accesso al sistema è iniziato attraverso i terminali che
costituiscono strumenti di accesso, né le eventuali successive condotte di
acquisizione ed uso dei dati. La Cassazione ha inoltre precisato, con
riferimento al momento in cui la fattispecie di reato si perfeziona, che la
procedura di accesso deve ritenersi atto prodromico all'introduzione nel
sistema che avviene solo nel momento in cui si entra effettivamente nel server
dopo aver completato la validazione delle credenziali dell'utente che viene
fatta da sistema centrale.
Venendo, infine, all'elemento psicologico, la condotta di cui all'articolo
615 ter c.p. deve essere sorretta dal dolo consistente nella coscienza e volontà
di introdursi abusivamente ovvero mantenersi all'interno del sistema protetto
da misure di sicurezza, contro la volontà espresso tacita del titolare dello ius
excludendi alios. Si tratta di un dolo generico per cui non rilevano le finalità
cui l'accesso abusivo è diretto, né i motivi per i quali il soggetto pone in essere
la condotta tipica. L'accertamento dell'elemento soggettivo per i reati in
questione comporta una serie di problematiche, soprattutto nel caso in cui il
reato venga posto in essere dagli insiders. Data la forte caratterizzazione
dolosa del reato di accesso abusivo è evidente come l'accertamento di una
responsabilità in capo a tali soggetti presupponga, genericamente, un
314
monitoraggio capillare dell'attività lavorativa svolta dal lavoratore, con
evidenti problematiche su cui si ritornerà644.
Analizzando le aggravanti previste dall'articolo in analisi una particolare
attenzione va dedicata a quella relativa all'abuso dell’operatore di sistema645.
La ratio di tale aggravio di pena va ricercata nel fatto che l'amministratore di
sistema si viene a trovare, in ragione delle sue funzioni e attività, in una
evidente posizione di vantaggio potendo accedere al sistema per intero,
controllandone le operazioni e rendendo così assai più semplice la
commissione del reato. La previsione di un'aggravante si giustifica quindi
proprio per punire più severamente comportamenti illeciti più facili da porre in
essere per il soggetto in questione e per sanzionare anche il tradimento della
fiducia riposta dal titolare in chi professionalmente dovrebbe curarsi del
sistema.
Tra i vari reati informatici, l'accesso abusivo è uno di quelli più diffusi e
propedeutico alla commissione di altre fattispecie delittuose, come ad esempio
il danneggiamento informatico. Si sottolinea, ai fini di un rilievo secondo il
“sistema 231”, che se in passato le statistiche riguardavano principalmente
accessi abusivi provenienti dall'esterno della rete, tentando di “bucare” i
firewall, sono oggi sempre più frequenti gli accessi abusivi provenienti dalla
stessa rete interna ad aree per cui l'utente non è autorizzato o addirittura ad
aree per cui era autorizzato prima di un cambio di mansione o della fuoriuscita
644
Si veda, in questo capitolo, § 3.3.3.
Ipotesi peraltro ricorrente in numerose altre fattispecie informatiche, come, ad esempio,
l'articolo 640 ter c.p. Quanto al significato dell'espressione “operatore di sistema” tale
qualifica rinvenuta non solo in capo al tecnico che si trova ad operare come programmatore,
analista, sistemista hardware o software, ma va attribuita a qualsiasi soggetto che, per le
funzioni svolte, si trovi ad intervenire o poter intervenire sul sistema. Non si richiede, invece,
un rapporto tra titolare del sistema informatico e soggetto agente, potendo ravvisarsi l'illecito
anche da parte di un socio, un collaboratore esterno o di un soggetto che, pur godendo di una
posizione di autonomia ed indipendenza rispetto al titolare, si trovi a poter operare sul
sistema informatico in forza di un titolo che glielo consente o, addirittura, glielo impone,
come nel caso del contratto per assistenza e manutenzione di un sistema informatico.
645
315
dell'ente stesso646. Anche in questo caso la prevenzione del reato passa
attraverso la realizzazione di un efficace sistema di monitoraggio delle risorse
e di verifica dei log, pur con tutte le problematiche dal punto di vista della
privacy647.
B) Il “microsistema” normativo dei danneggiamenti informatici648
Negli anni settanta, l'assenza di una normativa penale ad hoc circa l'emergente
diritto penale delle tecnologie informatiche, aveva portato la giurisprudenza a
funambolismi interpretativi al limite del divieto di analogia in malam partem,
nel tentativo di ricondurre i nuovi fenomeni criminosi nell'alveo di quelle
fattispecie tradizionali che presentavano maggiori somiglianze con i cd.
computer crimes.
Il danneggiamento delle parti fisiche (o hardware) di un computer (ad es. la
tastiera, la stampante, il processore ecc.) non creava particolari problemi
interpretativi in dottrina. Le ipotesi di cd. “sabotaggio informatico” venivano
quindi pacificamente sussunte dalla giurisprudenza nella fattispecie classica di
danneggiamento di cose (art. 635 c.p.).
Maggiori difficoltà, invece, sorgevano riguardo alle aggressioni ai nuovi
“oggetti” squisitamente informatici, quali i dati e i programmi. Nonostante le
forti perplessità della dottrina più autorevole649, che evidenziava l'impossibilità
646
Molto frequenti sono i casi in cui un utente trasferitosi ad un'altra società continui ad
utilizzare abusivamente le credenziali di accesso alla rete locale (ad esempio tramite un
protocollo VPN) commettendo un accesso abusivo a sistema.
647
Si veda più approfonditamente § 3.3.3
648
Per una prospettiva completa I. SALVADORI, Il “microsistema” normativo concernente
i danneggiamenti informatici. Un bilancio molto poco esaltante, in Riv. it. dir. e proc. pen.,
fasc.1, 2012, pp. 204 ss.; CAMPEIS, Danneggiamento di informazioni dati e programmi
informatici, pp. 895 ss e DEL NINNO, Danneggiamento di sistemi informatici o telematici,
pp. 909 ss. in AA.VV. (a cura di CENDON), Trattato dei nuovi danni, vol. V, Cedam,
Padova, 2011.
649
Cfr. A. ALESSANDRI, Criminalità informatica, in Riv. trim. dir. pen. ec., 1990, pp. 653
ss; A. LANZI, Sviluppo e prospettive nella disciplina dei computer crimes, in Indice penale,
1992, pp. 527 ss. che sottolineava l'uso incostituzionale di alcune norme tradizionali del
codice penale, tra le quali quella del danneggiamento prevista e punita dall'art. 635 c.p.; L.
PICOTTI, La rilevanza penale degli atti di sabotaggio ad impianti di elaborazione dati, in
Dir. Inf., 1986, pp. 971 ss; Contra R. BORRUSO, La tutela del documento e dei dati, in R.
316
di ricondurre delle componenti software di un computer al concetto di “cosa”
sul quale è imperniata la fattispecie tradizionale di danneggiamento, la
giurisprudenza riteneva comunque applicabile anche alle condotte di
danneggiamento cd. logico l'art. 635 c.p. A questa conclusione di giungeva
muovendo dall'assunto che ogni alterazione di dati e di programmi informatici
causasse di fatto un'invalidazione funzionale o strutturale da parte della parte
hardware di un sistema di elaborazione dati. In questa concezione il sistema
informatico era inteso come un «connubio indivisibile tra le apparecchiature
fisiche hardware e i programmi che le utilizzano e specializzano»650. Ma
anche volendo ammettere che ogni alterazione logica di dati e programmi
informatici potesse determinare il danneggiamento o la manomissione del
relativo supporto magnetico (es. floppy disc, cd-rom, nastri, ecc), i limiti di
tale
interpretazione
emergevano
con
grande
evidenza
rispetto
ai
danneggiamenti di dati in fase di trasmissione (ad esempio da un sistema ad un
altro mediante Internet o attraverso una rete LAN), vale a dire non incorporati
neanche momentaneamente su un supporto fisico non determinato.
Le difficoltà di ricondurre i nuovi oggetti informatici alla nozione materiale di
“cosa” ha quindi fatto emergere l'esigenza di introdurre una fattispecie ad hoc
per punire i danneggiamenti logici.
Per colmare tale lacuna, quindi, il legislatore italiano, con l'art. 9 della legge
547/1993 ha aveva introdotto una fattispecie ad hoc sul danneggiamento di
sistemi informatici e telematici ovvero l'art. 635 bis c.p. Tale articolo è poi
stato modificato dalla successiva legge 48/2008, che come si è visto, ha
riformato alcune fattispecie codicistiche e ne ha introdotte di nuove. Nel dare
attuazione alle disposizioni della Convenzione Cybercrime in materia di data
interference e system interference, il nostro legislatore ha formalmente accolto
BORRUSO - G. BUONUOMO - G. CORASANITI - G. D'AIETTI, Profili penali
dell'informatica, op.cit., pp. 10 ss. secondo il quale i dati informatici potevano «essere
ritenuti oggetto autonomo di danneggiamento materiale essendo, a differenza dei tradizionali
caratteri scritti, cose materiali mobili in quanto trasferibili liberamente da un supporto ad un
altro, esattamente come avviene per un qualsiasi liquido».
650
Così, SALVADORI, op.cit., p. 206.
317
la bipartizione tra il danneggiamento di dati informatici e di sistemi
informatici. A differenza di quanto operato da altri legislatori europei, non si è
però limitato a prevedere due fattispecie incriminatrici, ma si è spinto oltre,
creando un complesso microsistema normativo, con quattro disposizioni
nuove o riformulate651.
La legge 48/2008 ha così disegnato una sorta di “microsistema” di
danneggiamento informatico, dando vita a quattro fattispecie criminose
distinte a seconda dell'oggetto materiale su cui cade la condotta vietata e delle
modalità e intensità con cui avviene l'aggressione al bene giuridico tutelato.
Le due norme cardine di questo nuovo sistema sono date, per l'appunto,
dall'articolo 635 bis c.p. 652 e dall'articolo 635 quater c.p653, che prevedono, da
651
La ratio di tale quadripartizione andrebbe individuata, secondo i redattori della legge, non
solo in un'astratta «esigenza di simmetria rispetto alla sistematica della convenzione», ma
anche «nell'opportunità di introdurre una disciplina penale differenziata a seconda che
l'oggetto di tutela (informazioni, dati, programmi informatici) abbia o meno rilevanza a fini
pubblicistici». Così la relazione di accompagnamento al d.d.l. n. 2807, p.8. Sull'iter
normativo del d.d.l. si veda SARZANA DI S. IPPOLITO, La legge di ratifica, op.cit., pp.
1563 ss.
652
Tale fattispecie di reato si realizza quando un soggetto distrugga, deteriori, cancelli, alteri
o sopprima informazioni, dati o programmi informatici altrui, indipendentemente dal fatto
che ciò avvenga per trarre profitto o semplicemente per un atto di vandalismo informatico
fine a se stesso (si prevede quindi un dolo generico). Come si è detto, antecedentemente
all'entrata in vigore della l. 547/1993, la condotta in esame configurava un'ipotesi di
danneggiamento ex art. 635 c.p., poiché mediante la distruzione di un bene immateriale, si
rendeva inservibile il sistema (bene materiale). Pertanto tra l'art. 635 bis c.p. e l'attuale art.
635 c.p. esiste un rapporto di successione di leggi nel tempo, disciplinato dall'art. 2 c.p.
Come nel danneggiamento classico, oggetto della tutela dell'art. 635 bis c.p. non è soltanto la
proprietà in senso tecnico, ma lo è ogni diritto sulla cosa che nel caso concreto abbia un
rilievo sociale maggiore o anche paragonabile a quello che eventualmente spetti al soggetto
attivo. Entro questi limiti, può trattarsi di qualsiasi diritto, reale o processuale, di godimento
e di garanzia. La differenza non è solo nominale o giuridica, ma assume un particolare
significato nel caso di danneggiamento ai software, poiché per il diritto la proprietà spetta al
programmatore, detentore dei codici sorgente, ma il danno può essere subito anche dal
semplice utente che dispone di licenza d'uso e installazione. In questa prospettiva il soggetto
passivo coincide nei vari casi ipotizzabili con il titolare di uno dei predetti diritti. Soggetto
attivo sarà chiunque nell'ipotesi base e l'operatore di sistema in quella aggravata, di cui al
secondo comma dell'art. 635 bis c.p. Il reato in esame è perseguibile a querela della persona
offesa nell'ipotesi base, d'ufficio in quella aggravata.
653
Tale reato si realizza quando un soggetto, mediante le condotte di cui all'art. 635 bis c.p.,
distrugga, danneggi, renda in tutto o in parte inservibili sistemi informatici o telematici altrui
o ne ostacoli gravemente il funzionamento. Pertanto, qualora l'alterazione dei dati, delle
informazioni o dei programmi renda inservibile o ostacoli gravemente il funzionamento del
sistema non si integra il delitto di danneggiamento, ma quello dei dati previsto dall'art. 635
318
un lato, il danneggiamento di informazioni e dati e programmi informatici e,
dall'altro, il danneggiamento di sistemi informatici o telematici. Le condotte
contemplate dall'art. 635 bis c.p. (a cui rinvia anche il 635 quater c.p.) sono
molteplici e le forme di aggressione si distinguono in ragione della gravità del
danno cagionato all'integrità del supporto fisico o virtuale654.
Occorre
fare
una
precisazione
sulla
condotta
materiale
di
“cancellazione” di cui agli articoli 635 bis e 635 ter c.p. (“danneggiamento di
informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente
pubblico o comunque di pubblica utilità”). Non è infatti necessario che il dato
venga cancellato irreversibilmente, in quanto la giurisprudenza di legittimità
(Cass. pen., sez. V, 5 marzo 2012, n. 8555), ha affermato che il reato sussiste
anche qualora il file sia recuperabile: secondo la Corte la cancellazione
consiste nella rimozione da un certo ambiente di determinati dati, in via
provvisoria attraverso il loro spostamento nell'apposito “cestino” o in via
definitiva mediante il successivo svuotamento dello stesso. In realtà neppure
quest'ultima operazione può definirsi davvero definitiva, in quanto anche dopo
lo svuotamento del cestino i file cancellati possono essere recuperati, ma solo
attraverso una complessa procedura tecnica che richiede l'uso di particolari
bis c.p. La dottrina sottolinea come all'interno della fattispecie di cui all'art. 635 quater c.p.
sia ricompresa (oltre alle condotte di cui al 635 bis c.p. a cui si fa rinvio) anche l'introduzione
o la trasmissione di dati, informazioni, o programmi, due ulteriori ipotesi contemplate
dall'art. 5 della Convenzione di Budapest, per colpire specificamente i danneggiamenti
realizzabili anche a distanza, mediante programmi virus o altri dati maligni introdotti o fatti
circolare in rete. Così S. ATERNO, Le fattispecie di danneggiamento, in L. LUPARIA (a
cura di), Sistema penale e criminalità informatica, op. cit., pp. 48 ss.
Tale reato è procedibile d'ufficio e consente l'applicazione di misure cautelari personali.
654
Analizzando nel dettaglio le molteplici condotte di cui all'art. 635 bis c.p., per
“distruzione” si intende la manomissione del dato o dell'impianto, il deterioramento consiste
nella diminuzione apprezzabile del valore o dell'utilizzabilità dei dati o degli impianti. La
cancellazione (che riguarda solo il danneggiamento di dati, informazioni e programmi ex art.
635 bis e ter c.p.) si traduce nell'eliminazione, non necessariamente irreversibile
dell'informazione dalla memoria fisica del computer dell'informazione. Infine per alterazione
si intende una modifica strutturale del dato, dell'informazione o del programma, ovvero una
modifica della versione originaria del file, o la limitazione di alcune funzionalità proprie di
una determinata applicazione. Il concetto di soppressione, poi, appare simile a quello di
cancellazione, ma si differenzia da questa perché in questo caso la “cancellazione” è
definitiva e senza possibilità di recupero dell'informazione in un secondo tempo.
319
sistemi applicativi
e presuppone
specifiche
conoscenze
nel campo
dell'informatica. In conclusione, sembra corretto ritenere conforme alla ratio
della disposizione normativa, di cui all'art. 635 bis c.p., che anche la
cancellazione che non escluda la possibilità di recupero, se non con l'uso
anche dispendioso di particolari procedure, integri gli estremi oggettivi della
fattispecie delittuosa655.
Le altre due fattispecie minori del microsistema dei danneggiamenti
quadripartitico prevedono poi un rafforzamento della risposta sanzionatoria di
fronte ad aggressioni particolarmente insidiose per la qualità delle
informazioni o dei sistemi colpiti: l'articolo 635 ter c.p.656, infatti, punisce il
danneggiamento di informazioni, dati e programmi informatici utilizzati dallo
Stato o da altro ente pubblico o comunque di pubblica di utilità, mentre
l'articolo 635 quinquies c.p.657 sanziona il danneggiamento di sistemi
informatici o telematici di pubblica utilità.
655
Così D'AIUTO - LEVITA, I reati informatici, op.cit., p. 42; per approfondire la pronuncia
della Cassazione si veda Cass. pen., sez. V, 5 marzo 2012, in Guida dir., n. 14, 2012, con
nota di A. STANCHI - A. PEDRONI, La cancellazione di file aziendali è reato di
danneggiamento, pp. 21 ss.; la normale procedura di cancellazione di un file prevede di
mettere a disposizione l'area occupata dal file cancellato per ulteriori utilizzi, senza
sovrascrivere/cancellare il contenuto del file. Ciò consente di recuperare in tutto o in parte i
dati, sia accedendo al disco rigido aggirando il gestore del File System oppure, come
raccomandato nella computer forensics, in laboratorio con gli opportuni strumenti e tecniche
(es. l'algoritmo di Gutman). Tra le più recenti tecniche di cancellazione si ricorda il cd.
“wipe” (letteralmente “pulire”, “strofinare” che impedisce il recupero dei dati cancellati. Gli
strumenti per il wipe sono detti “shedder”.
656
Tale reato si distingue dal precedente (pur contemplando le stesse condotte) perché in
questo caso il danneggiamento ha ad oggetto beni dello Stato o di altro ente pubblico o
comunque di pubblica utilità. Ne deriva che il reato sussiste anche nel caso in cui si tratti di
dati, informazioni o programmi di proprietà di privati, ma destinati al soddisfacimento di un
interesse di natura pubblica. Il delitto in esame è procedibile d'ufficio, con facoltà di arresto,
facoltà di fermo ed applicabilità di misure cautelari. Riguardo all'art. 635 ter c.p., poi sono
sorte in dottrina alcune perplessità circa il riferimento al concetto di «dati utilizzati dallo
Stato»: si osserva come non sia chiaro che cosa si intenda con il termine utilizzati, ossia se si
tratta di «dati, informazioni che lo Stato o l'ente pubblico utilizza in quanto proveniente e
formati/creati da altri e trasmessi per competenza all'ente statale (...) oppure se si tratta di
dati che comunque lo Stato in qualche modo ha inserito nel procedimento tipico della
Pubblica Amministrazione, come suoi atti propri se e in quanto recepiti o
procedimentalizzati» così S. ATERNO, Le fattispecie di danneggiamento informatico,
op.cit., p. 50.
657
Tale reato si configura quando la condotta di cui al precedente articolo è diretta a
«distruggere, danneggiare, rendere in tutto o in parte inservibili sistemi informatici o
320
Interessanti e controversi dal punto di vista penale sostanziale sono i
primi commi di tali due ultime fattispecie di danneggiamenti di «pubblica
utilità» qualificati come delitti di attentato e quindi a consumazione anticipata.
La peculiare struttura oggettiva dei delitti di attentato (“fatti diretti a”) che
anticipa il momento consumativo, ha suscitato forti perplessità in dottrina, in
quanto deroga al modello di reato come offesa di beni giuridici658.
Per superare i dubbi di legittimità costituzionale che solleva tale tecnica
di tutela, la dottrina maggioritaria e la giurisprudenza richiedono in via
interpretativa, oltre al requisito espresso della direzione degli atti ( “atti diretti
a”), quello implicito della idoneità a cagionare il risultato dannoso cui sono
diretti. La dottrina prevalente, ritenendo che i delitti di attentato debbano avere
una struttura oggettiva, se non identica, per lo meno affine a quella del
tentativo659, ha portato a diverse argomentazioni per fondare il requisito
implicito dell'idoneità degli atti660. Inoltre, da ciò deriva che «sarebbe quindi
telematici di pubblica utilità, o ad ostacolarne gravemente il funzionamento».
Differentemente dal delitto di danneggiamento di dati, informazioni e programmi di pubblica
utilità di cui al 635 ter c.p., qui il danneggiamento deve avere ad oggetto il sistema e
quest'ultimo deve essere utilizzato per il perseguimento di pubblica utilità,
indipendentemente dalla proprietà privata pubblica dello stesso. Come il precedente reato è
procedibile d'ufficio e consente l'applicazione di misure cautelari personali.
658
G. ZUCCALÀ, Profili del delitto di attentato, in Riv. it. dir. proc. pen., 1977, pp. 1225 ss.
sostiene che i delitti di attentato siano reati «a carattere squisitamente oggettivo» e che
«consistono nella violazione di un divieto (...) al di fuori dell'offesa, lesiva o pericolosa, di
un bene giuridico». Contra E. GALLO, Principio di offensività e delitti di attentato (note ai
margini di una polemica), in Pol. dir., 1985, pp. 145 ss.
659
T. PADOVANI, La tipicità inafferrabile. Problemi di struttura obiettiva delle fattispecie
di attentato contro la personalità dello Stato, in Delitto politico dalla fine dell'Ottocento a
giorni nostri, Roma, 1984, pp. 174, 175. I delitti di attentato si dividono in tre
macrocategorie: la prima comprende attentati che portano a risultati privi di connotati
intrinsecamente offensivi (artt. 245, 289 c.p.), la seconda comprende attentati connotati da un
evento “iperlesivo”, ovvero di lesività “storica” (artt. 284, 286 c.p.), la terza macrocategoria
comprende delitti di attentato che anticipano e specializzano la tutela comune di determinati
interessi giuridici e la cui struttura è riconducibile a quella del tentativo. Quest'ultima è la
struttura delle fattispecie di attentato a dati e sistemi informatici di pubblica utilità di cui agli
artt. 635 ter comma primo e 635 quinquies c.p. comma primo. Sulla struttura dei delitti
riconducibili a quest'ultimo gruppo si veda L. PICOTTI, il dolo specifico: un'indagine sugli
elementi finalistici delle fattispecie penali, Milano, 1993, pp. 192-195.
660
Si contrappongono due teorie: quella sorpassata, detta concezione realistica del reato, che
afferma che il requisito dell'idoneità, in tutti i delitti di attentato, andrebbe desunto dall'art.
49 c.p. comma secondo, che fonda il principio della necessaria offensività del reato; e un
altra più convincente teoria che sostiene che la condotta dei delitti di attentato con la loro
321
possibile, oltre che giuridicamente doveroso, applicare in via interpretativa
alla fattispecie di delitti di attentato (..), e quindi anche a quelle di attentato a
dati ed a sistemi informatici di pubblica utilità, i requisiti di tipicità previsti per
il fatto di tentativo dei comuni reati dolosi, che prevedono un corrispondente,
ma non qualificato, evento consumativo dello stesso contenuto»661. I delitti di
attentato che appartengono alla menzionata categoria devono quindi presentare
gli stessi requisiti di idoneità ed equivocità propri delle fattispecie tentate dei
corrispondenti delitti comuni. La loro necessaria equiparazione in via
ermeneutica al tentativo (“atti idonei e diretti in modo non equivoco”),
permette di superare le perplessità avanzate da autorevole dottrina circa la
possibilità di considerare la direzione non equivoca degli atti come elemento
implicito di tali reati. In particolare si è evidenziato come la mancata
previsione della univocità della direzione di tali atti di attentato porti al fatto
che «la pericolosità ex ante della condotta di attentato, è sul piano della tipicità
legale, meno concreta di quella degli atti del tentativo, perché più arretrata nel
decorso causale (e perciò solitamente meno univoca)»662. In linea con la
disciplina stabilita in materia di delitto tentato (art. 56 c.p.), la pericolosità e la
direzione non equivoca degli atti devono essere accertate dal giudice in
concreto, sulla base di una valutazione ex ante (cd. prognosi postuma).
Saranno, in conclusione, penalmente rilevanti solo quegli atti che, sulla base di
“forma aperta” e quindi indeterminata, andrebbe arricchita in via interpretativa con il
requisito (oggettivo) dell'idoneità per evitare il contrasto con il principio (costituzionale) di
determinatezza.
661
L. PICOTTI, Il dolo specifico, op. cit., p. 193-195. L'autore ricava tale equiparazione
della disciplina tra il tentativo e le fattispecie in esame (artt. 635 ter e quinquies, commi
primi) dal disposto dell'art. 301 c.p. (disposizioni comuni e generali circa i delitti di attentato
contro la personalità dello Stato) e al fatto che la sua portata sarebbe estensibile anche alle
fattispecie che, pur non essendo da tale articolo espressamente richiamate, presentano una
struttura dogmatica identica. Quindi, i commi primi degli artt. 635 ter e quinquies c.p. si
deve ritenere che possiedano un'identica struttura rispetto alle fattispecie richiamate dall'art.
301 c.p. Essi risultano essere speciali rispetto ai comuni tentativi dei delitti di cui
rispettivamente agli artt. 635 bis e 635 quater c.p. Si dovrà pertanto ritenere in via
interpretativa che la soglia di punibilità dei fatti di attentato a dati e a sistemi informatici di
pubblica utilità (artt. 635 ter e quinquies c.p.) coincida con quella prevista per il tentativo dei
corrispondenti delitti comuni di danneggiamento di cui agli art. 635 bis comma primo e 635
quater comma primo c.p.
662
M. DONINI, Teoria del reato. Una introduzione, Padova, 1996, p. 181.
322
un criterio di prognosi postuma ex ante, risultino oggettivamente idonei e
diretti in modo non equivoco a creare un concreto pericolo per il bene
giuridico tutelato. Andrà, invece, esclusa la punibilità a titolo di tentativo,
essendo quest'ultimo incompatibile con i delitti di attentato663.
Il ricorso del legislatore alla struttura dei delitti di attentato non è
legittimo, in quanto, secondo autorevole dottrina dovrebbero verificarsi due
presupposti, che nel caso specifico sono assenti. Il primo di tale presupposti è
l'esigenza politico-criminale di sanzionare il tentativo punibile con la stessa
pena prevista per il reato consumato o anzi con una pena più severa rispetto a
quella che deriverebbe dalla disciplina stabilita all'art. 56 c.p. La comminatoria
per un trattamento più o meno severo per le ipotesi tentate potrebbe infatti non
garantire, in determinati casi, la necessaria funzione deterrente della pena. Il
secondo presupposto è, in alcuni casi, la stessa natura del fatto delittuoso che
impone di ricorrere ai delitti di attentato, dal momento che il raggiungimento
del fine cui è diretta la volontà dell'agente assicurerebbe al colpevole la
completa impunità. L'ambito in cui si fa ricorso a tale tecnica normativa è
rappresentato per antonomasia dai reati contro la personalità dello Stato. In
questi casi, qualora il legislatore subordinasse la punibilità degli atti al
verificarsi del risultato lesivo (ad esempio la sottoposizione del territorio dello
Stato o una parte di esso alla sovranità di uno Stato straniero o la
menomazione dell'unitarietà dello Stato) non solo si rischierebbe di assicurare
l'impunità al reo, ma si metterebbe in pericolo la stessa esistenza dell'assetto
politico costituzionale. Tali condizioni non si verificano con riguardo alle
fattispecie di attentato a dati e sistemi informatici di pubblica utilità previste
all'art. 635 ter comma primo e 635 quinquies comma primo. Intanto non
sembrano sussistere particolari ragioni general-preventive che giustifichino la
necessità di sanzionare le ipotesi di attentato dei dati ed ai sistemi informatici
pubblici con una pena superiore rispetto a quella prevista dalla disciplina del
663
M. ROMANO, Commentario sistematico al codice penale, I, sub art. 56 c.p., Milano,
2004, p. 602.
323
tentativo (art. 56 c.p.). In secondo luogo non vi è certamente pericolo che il
raggiungimento dell'intento perseguito dal soggetto agente ne assicuri la sua
impunità o comprometta comunque l'assetto democratico dello Stato.
Riguardo invece i secondi commi degli articoli 635 ter e quinquies c.p.
in esame, si nota come essi siano identici nella formulazione rispettivamente
alle fattispecie di cui agli articoli 420 c.p. comma secondo e 420 c.p. comma
terzo664. La scelta di modellare le fattispecie di danneggiamento di dati e
sistemi informatici di pubblica utilità su quella del delitto ad attentato ad
impianti di pubblica utilità di cui all'art. 420 c.p. (parzialmente abrogato
dall'art.6 della legge 48/2008) è una scelta del tutto criticabile e infelice.
Sarebbe stato più corretto modellare tali norme sulle ipotesi base di
danneggiamento di dati di cui agli articoli 635 bis e quater c.p. Così facendo,
si sono introdotte in questo complesso «microsistema» normativo sui
danneggiamenti informatici due fattispecie la cui struttura (“se dal fatto deriva
che”) è apparentemente analoga a quella dei reati aggravati dall'evento. La
dottrina, muovendo dal rapporto tra volontà colpevole ed evento aggravatore,
distingue tre gruppi di delitti aggravati dall'evento: 1) delitti in cui l'evento non
può essere voluto (necessaria involontarietà) 2) delitti in cui l'evento non deve
essere voluto (indifferenza psicologica) 3) delitti in cui l'evento non può che
essere voluto (volontarietà). In quest'ultimo gruppo vengono ricondotti anche i
delitti di attentato in cui il fatto base (“fatto diretto a”) di per sé già
incriminato è aggravato quando l'evento “qualificante” verso il quale è diretto
si verifica. Tuttavia, l'assimilazione della categoria di reati in cui l'evento
Si tratta della fattispecie rubricata “attentato a impianti di pubblica utilità”, che
attualmente, al primo comma, recita: “Chiunque commette un fatto diretto a danneggiare o
distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato,
con la reclusione da uno a quattro anni”. Il secondo e il terzo comma sono stati abrogati
dall'art. 6 della legge 48/2008 di ratifica alla Convenzione di Budapest. Il secondo comma
estendeva la pena di cui al primo comma anche a “chi commette un fatto diretto a
danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati,
informazioni o programmi in essi contenuti o ad essi pertinenti". Il terzo comma recitava: “se
dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle
informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento
dell'impianto o del sistema la pena è della reclusione da tre a otto anni”.
664
324
qualificante è necessariamente voluto dall'agente a quella dei reati aggravati
dall'evento è soltanto apparente, dato che con questi ultimi i primi hanno in
comune soltanto la tecnica redazionale normativa “se dal fatto deriva che”, ma
non la struttura tipica. A differenza infatti delle prime due categorie di reati in
cui l'evento ulteriore non è voluto o comunque è del tutto irrilevante che lo sia,
nella terza l'evento aggravatore deve essere voluto, perché già costituisce
l'oggetto del dolo della fattispecie-base dolosa di attentato. A questa categoria
di delitti solo apparentemente aggravati dall'evento, vanno senz'altro
ricondotti i reati di cui agli articoli 635 ter comma secondo e 635 quinquies
comma secondo c.p., i quali paiono configurare come aggravatore
rispettivamente l'evento di danneggiamento di dati e programmi informatici e
quello di danneggiamento di sistemi informatici o telematici. Nella loro
struttura, infatti, l'evento che deve verificarsi per integrare l'ipotesi sia dell'art.
635 ter comma secondo, che dell'art. 635 quinquies comma secondo, è già
oggetto del dolo del fatto-base di cui ai primi commi degli articoli in esame.
Dunque, bisogna concludersi che le fattispecie di tali articoli rappresentano
fattispecie autonome di reato e non meri delitti aggravati dall'evento665.
Il bene giuridico tutelato dai reati di danneggiamento esaminati è
rappresentato dall'integrità e dalla disponibilità tanto dei dati, dei programmi e
delle informazioni, quanto dei sistemi informatici o telematici altrui666.
665
Va quindi aggiunto, in conseguenza che: «non trattandosi quindi di meri reati aggravati
dall'evento, bensì di figure autonome di reato, ne consegue, dal punto di vista pratico, che
l'evento qualificante di ‘distruzione, deterioramento, cancellazione, alterazione o
soppressione’ e di ‘distruzione o danneggiamento’ di dati e di sistemi di pubblica utilità,
deve considerarsi come un elemento costitutivo di un autonomo delitto consumato e non
come elemento ‘circostanziante’ delle ipotesi base di attentato Per cui non potrà essere
oggetto di un giudizio di bilanciamento, ai sensi dell'art. 69 c.p., né soggetto alla disciplina
prevista per l'art. 59 c.p», così SALVADORI, op. cit., p.233.
666
Il reato di danneggiamento di cui all'art. 635 bis c.p. prevede una procedibilità a querela
di parte e si sostiene che la condizione di procedibilità della querela dell'offeso comporti la
necessità di identificare la persona offesa. Tale individuazione potrebbe essere fondata sul
concetto di altruità del supporto informatico danneggiato. Il rinvio testuale al concetto di
altruità è presente sia nella fattispecie 635 bis in riferimento a informazioni, dati o
programmi, sia nella fattispecie di cui all'art. 635 quater c.p. in riferimento a sistemi
informatici o telematici. Tuttavia, l'immaterialità del dato informatico impedisce a questo di
essere giuridicamente oggetto di possesso. Sul concetto di altruità (di dati, informazioni e
325
Pertanto è da ritenere non corretto sostenere che tali norme tutelino il
patrimonio, rectius il valore patrimoniale di particolari dati, informazioni,
programmi o sistemi: questa interpretazione sopravaluta la collocazione
sistematica della norme in esame (delitti contro il patrimonio, mediante
violenza a cose o persone, ovvero il titolo XII, capo I del codice penale),
ignorando che nel rapporto tra titolo (sezione o capo) e testo normativo,
prevale sempre quest'ultimo. L'intitolato infatti non è che uno dei criteri
ermeneutici a disposizione dell'interprete per confermare, ma non per fondare,
quanto si è ricavato dal testo normativo. Nell'individuare l'interesse giuridico
tutelato dalle norme, l'interprete non potrà dunque che essere vincolato al
contenuto del fatto tipico667.
Ancora, non convince la scelta di configurare gli artt. 635 ter e
quinquies c.p. come delitti volti a tutelare il bene giuridico dell'ordine
pubblico, muovendo al fatto che essi possiedono identica struttura rispetto ai
delitti di cui agli abrogati commi secondo e terzo dell'art. 420 c.p. Se il
legislatore avesse voluto effettivamente tutelare con tali articoli l'ordine
pubblico non si spiegherebbe la loro nuova e successiva collocazione nel titolo
programmi informatici ovvero di elementi immateriali cd. volatili, privi di una consistenza
percepibile) la dottrina è critica, si veda in particolare SALVADORI, op.cit., pp. 214-219 e
p. 240: «il richiamo a tale locuzione, nel contesto dell'informatica, crea notevoli problemi per
individuare la persona offesa e l'interesse protetto. Risulta infatti difficile applicare concetti
tradizionali di origine civilistica, quali la proprietà e il possesso ai menzionati ‘oggetti’
informatici». In prospettiva de jure condendo sarebbe opportuno sostituire tale controverso
requisito di altruità con una clausola di illiceità espressa, in linea con le scelte di altri
legislatori europei (come quello belga e quello portoghese), quest'ultima potrebbe essere
costituita da locuzioni quali «senza diritto» (espressione tra l'altro prevista all'art. 4 della
Convenzione di Budapest) oppure «senza autorizzazione». Si ritiene infatti opportuno che il
legislatore consideri e tuteli non solo il proprietario e il concedente, ma anche il legittimo
utilizzatore o ultimo fruitore del device informatico, nonché gli abbonati e gli utenti titolari
di «un legittimo interesse a che i dati, programmi e sistemi informatici possano funzionare ed
essere utilizzati in modo regolare e corretto» (si pensi, per esempio, ai clienti di uno studio
legale che abbiano interesse non solo al fatto che i loro dati siano trattati in conformità al
Codice Privacy, ma anche a che i dati, programmi e sistemi informatici possano funzionare
ed essere utilizzati in modo corretto). Così, L. PICOTTI, La ratifica della convenzione
Cybercrime, op.cit., p. 444 e pp. 711 ss. Si precisa infine che, secondo la migliore dottrina, la
clausola di illiceità suddetta, di cui si auspica l'introduzione, non costituirebbe un elemento
di antigiuridicità, bensì della tipicità. Così, SALVADORI, op.cit. p. 219.
667
Basti pensare alla rubrica dell'art. 24 bis d.lgs. 231/200: “delitti informatici e trattamento
illecito di dati”, ma del trattamento illecito di dati non c'è traccia nel testo della norma.
326
XIII del libro II del codice penale, dedicata ai delitti contro il patrimonio.
Inoltre, anche volendo prescindere dalla collocazione sistematica, non pare
che la descrizione del fatto tipico dei delitti di cui ai comma primi degli art.
635 ter e quinquies c.p. possa risultare idonea a violare i fondamentali principi
di precisione e tassatività, nonché, forse, a costituire un pericolo effettivo per
l'ordine pubblico, salvo forse situazioni di eccezionale gravità ancora
potenziali ed ipotetiche. Inoltre, come abbiamo visto, tali fattispecie,
richiedendo esplicitamente solo che i fatti siano “diretti a” danneggiare, e
tralasciando invece i requisiti di idoneità e univocità della condotta, estendono
eccessivamente l'ambito del punibile anche ad atti la cui probabilità di sfociare
in una seria e concreta minaccia all'ordine pubblico è del tutto esigua. La
tipicità di tali due fattispecie è talmente ampia ed inafferrabile che porta alla
conseguenza di punire con una pena detentiva sproporzionata qualsiasi atto
solo diretto a danneggiare anche un singolo dato o sistema utilizzato da un
ente pubblico.
Per inquadrare la fattispecie di danneggiamento nel contesto normativo
del d.lgs. 231/2001 che stiamo analizzando, si può notare come tali reati
possano essere commessi a vantaggio della società quando, ad esempio,
l'eliminazione o l'alterazione dei file o di un programma informatico, ex art.
635 bis c.p., appena acquistato siano poste in essere al fine di far venir meno
la prova del credito da parte di un fornitore della società o al fine di contestare
il corretto adempimento delle obbligazioni da parte del medesimo o, ancora,
nell'ipotesi in cui vengano danneggiati dei dati aziendali “compromettenti”.
Ancora, la condotta di cui all'art. 635 ter c.p. potrebbe essere messa in atto
nell'interesse della società qualora un dipendente compia atti diretti a
distruggere documenti informatici aventi efficacia probatoria registrati presso
327
enti pubblici (es. polizia giudiziaria) relativi ad un procedimento penale e/o
amministrativo o tributario a carico della società668.
C) Violazioni della segretezza della corrispondenza informatica o telematica
Continuando ad analizzare il primo comma dell'art. 24 bis d.lgs.
231/2001, troviamo, dopo l'accesso abusivo, gli artt. 617 quater e 617
quinquies c.p., rubricati “intercettazione, impedimento o interruzione illecita
di
comunicazioni
informatiche
o
telematiche”
e
“installazione
di
apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche”.
Con l'introduzione delle disposizioni in esame669, la legge 547/1993 ha esteso
alle comunicazioni informatiche e telematiche la tutela già apprestata alle
comunicazioni telegrafiche e telefoniche (artt. 617 e ss. c.p.), ciò è avvenuto
tramite la modifica del quarto comma dell'art. 616 c.p. rubricato “violazione,
sottrazione, e soppressione di corrispondenza” che aggiunge alle tipologie di
corrispondenza già elencate (“epistolare, telegrafica, telefonica (...) ovvero
effettuata con ogni altra forma di comunicazione a distanza) quelle di
“informatica o telematica”670. L'incidenza della nozione allargata di
corrispondenza non è limitata al solo delitto di cui all'art. 616 c.p., ma si
riferisce a tutti i reati contemplati nella sezione quinta del codice penale
(delitti contro l'inviolabilità dei segreti)671.
Cosa che si verifica regolarmente, si pensi ad caso Enron, o per restare in “casa”, alle
scene del film “Il gioiellino” (regia di A. Molaioli, 2011), liberamente ispirato al crack
Parmalat.
669
Insieme alle due fattispecie in esame (617 quater e 617 quinquies c.p) la legge 547/1993
ha introdotto anche l'art. 617 sexies, rubricato “falsificazione, alterazione o soppressione del
contenuto di comunicazioni informatiche o telematiche”, il quale, però, non risulta incluso
all'interno del d.lgs. 231/2001.
670
Queste comprendono documenti inviati a mezzo fax, telex, videoconferenza, e-mail, ecc.
671
Codice penale, libro II (dei delitti in particolare), titolo XII (dei delitti contro la persona),
Capo III (dei delitti contro la libertà individuale), Sezione V (dei delitti contro l'inviolabilità
dei segreti). Viene ampliato inserendo il riferimento alle comunicazione informatiche e
telematiche, anche l'art. 623 bis c.p., rubricato “altre comunicazioni e conversazioni”.
668
328
La dottrina maggioritaria ravvisa il bene giuridico, oggetto di tutela
delle disposizioni in esame, nell'integrità e nella riservatezza delle
comunicazioni672. Non manca però chi ravvisa, in queste norme, la tutela al
bene della sicurezza dei sistemi che dette comunicazioni veicolano673.
L'interpretazione prevalente, facendo leva sul bene giuridico della
riservatezza della comunicazione, porta a differenziare le fattispecie in esame
dall’art. 616 c.p. (così come ampliato dalla l. n. 547/93)674 per il solo fatto che,
mentre nella norma penale classica si fa riferimento alla comunicazione
statica, nella norma dell’art. 617 quater c.p. (e, per altro verso, dell'art. 617
quinquies c.p.) si finisce per tutelare una forma di corrispondenza qualificata
dal suo essere in corso di trasmissione675.
672
C. PECORELLA, Il diritto penale dell'informatica, Padova, 2006, p. 302.
C. CORASANITI, La tutela della comunicazione informatica e telematica, in R.
BORRUSO - G. BUONOMO - G. CORASANITI - D'AIETTI, Profili penali
dell'informatica, Milano, 1994, p. 120, l'Autore individua il bene giuridico tutelato nella
sicurezza del sistema informatico o telematico, ovvero «nella sua capacità tecnica ed
attitudine a diffondere e veicolare comunicazioni tra più soggetti non solo in condizioni di
effettiva affidabilità e di sostanziale fedeltà quanto ai contenuti e alla destinazione dei
messaggi, ma anche in modo tale da precludere che il circuito liberamente attivato e
controllato dai soggetti che di tale sistema informatico e telematico si avvalgono possa essere
in qualche modo alterato, violando il rapporto fiduciario con il gestore della rete o
stravolgendo i criteri prescelti circa l'accesso alle informazioni».
Diversamente G. PICA, Diritto penale delle tecnologie informatiche, Torino, 1999,
p.178 che individua il bene giuridico tutelato nella genuinità e nella riservatezza delle
comunicazioni, ove per genuinità si intenda «l'esigenza di autenticità del contenuto e di
inviolabilità ab externo della tecnologia» e per riservatezza «la perdurante e innegabile
esigenza che anche per le comunicazioni telematiche sia tutelata la privacy dei contenuti».
674
Rubricato “violazione, sottrazione e soppressione di corrispondenza”.
675
L'art. 15 della Costituzione recita al primo comma: “la libertà e la segretezza della
corrispondenza e di ogni altra forma di comunicazione sono inviolabili”. Tale
corrispondenza si riferisce ad una comunicazione attuale e personale. Quanto all'attualità, per
la dottrina, l'espressione di pensiero inizia ad essere una comunicazione nel momento
dell'affidamento a mezzo idoneo a trasmetterlo e cessa di essere tale quando, per decorso del
tempo o per altra causa, perda il valore di comunicazione, non potendosi ad essa attribuire
che un valore meramente retrospettivo, affettivo, collezionistico, storico, artistico, scientifico
o probatorio. In ordine, invece, alla personalità si richiede che la comunicazione sia rivolta
ad uno o più destinatari determinati o determinabili. Quest'ultimo requisito permette di
distinguere comunicazioni di carattere riservato da comunicazioni rivolte invece al pubblico.
Per imprimere alla comunicazione il carattere della riservatezza rileva l'idoneità del mezzo
prescelto a rispecchiare tale volontà. Naturalmente, si può parlare di diritto alla riservatezza
delle comunicazioni solo quando per queste vengano utilizzati mezzi che, in considerazione
della loro natura, escludano l'intenzione del soggetto di fornire la conoscenza dell'oggetto a
terzi. In particolare, la natura “personale” (cioè riservata) della comunicazione può risultare
673
329
Dal momento che lo scambio di comunicazioni avviene in corso di
trasmissione, deve avvenire in tempo reale, sfruttando un computer server che
funziona soltanto da intermediario. Questa forma di comunicazione può essere
“disturbata” solo nella fase di trasmissione dei messaggi, con una qualsiasi
delle condotte descritte nell'art. 617 quater c.p. Si conclude che chi prende
abusivamente cognizione del contenuto di una comunicazione altrui,
memorizzata su un supporto informatico (quindi in differita), risponde del
reato di cui all’art. 616 c.p., mentre colui che si immette in una rete telematica,
venendo così a conoscenza del contenuto di un messaggio in corso di
trasmissione, realizza la fattispecie di cui all'art. 617 quater c.p.
Lo scambio di informazioni e messaggi deve avvenire fra persone determinate,
altrimenti non potrà essere oggetto di tutela penale a norma dell'art. 617 quater
c.p. (nonché ex art. 616 c.p.), questo perché la messaggeria rivolta ad un
pubblico indeterminato (es. giornali telematici, siti web a consultazione
libera), non è riservata: quindi il bene giuridico da tutelare, la riservatezza
della comunicazione, difetta.
Diamo ora uno sguardo alle condotte materiali presenti nel testo dell'art.
617 quater.
Per intercettazione si intende la presa di cognizione, totale o parziale,
della comunicazione, purché, in questo secondo caso, la parte appresa abbia
una giuridica rilevanza, ancorché minima. La comunicazione, in ogni caso,
deve pervenire integralmente al legittimo destinatario, diversamente
ricorrerebbero le altre ipotesi previste dalla norma quali quella di interruzione,
che
appunto si realizza
qualora
la
comunicazione sia iniziata
e
sia dai dispositivi degli impianti di trasmissione e ricezione utilizzati (ad esempio predisposti
per l'identificazione del mittente e del destinatario), sia da peculiari misure e procedure di
collegamento ed accesso, anche soltanto a livello di software, purché idonei e diretti ad
escludere terzi dalla cognizione del messaggio.
330
successivamente fatta cessare, oppure quella di impedimento che invece
preclude anche il mero inizio della comunicazione676.
La
norma,
ancora,
richiede
che
la
condotta
sia
realizzata
“fraudolentemente”. Tale avverbio implica che l'intercettazione debba
avvenire in modo occulto, non manifesto, sono quindi escluse dall'area
penalmente rilevante quelle captazioni di comunicazioni informatiche o
telematiche effettuate «con la consapevolezza del soggetto intercettato»677, ma
anche quelle occasionali, ovvero le «intercettazioni volontarie che sono frutto,
però, di circostanze non preordinate dal soggetto agente»678.
Circa l'elemento soggettivo non sussistono particolari problemi per le
condotte di cui all'art. 617 quater c.p.: queste sono punite solo se commesse
con dolo. Si tratta di un dolo generico consistente nella consapevolezza e nella
volontà di intercettare con mezzi fraudolenti, impedire o interrompere una
comunicazione diretta o proveniente da un sistema informatico o intercorrente
tra più sistemi informatici, ovvero di rivelare679, con un mezzo di informazione
al pubblico, in tutto o parte, il contenuto di una comunicazione informatica (o
telematica) intercettata. Si prescinde quindi dal fine dell'agente.
Non è superfluo osservare, inoltre, come «numerose voci dottrinali (...)
hanno stigmatizzato l'introduzione dell'art. 617 quater c.p. (...) ad opera della
legge 547/1993, la quale finisce per costringere la giurisprudenza a complicati
equilibrismi alla ricerca della fattispecie applicabile»680.
676
Il semplice turbamento della comunicazione che non importi interruzione o impedimento
della stessa, neppure parziale, non è punibile ex art. 617 quater c.p. In questi casi per le
persone fisiche, potrebbe eventualmente trovare applicazione l’art. 660 c.p. (molestia o
disturbo alle persone), che non trova però spazio all'interno del d.lgs. 231/2001.
677
PICA, op.cit., p.177.
678
V. PLANTAMURA, La tutela penale delle comunicazioni informatiche e telematiche, in
Dir. Inf., n.6, 2006, p.856.
679
Quest'ultima condotta è prevista al secondo comma dell'art. 617 quater c.p. I commi
primo e secondo della norma in esame sono considerati autonomi tra loro, non solo perché
l'oggettività giuridica è diversa, ma anche perché possono essere diversi gli autori, essendo
perseguibile per il delitto di divulgazione di comunicazioni intercettate anche a chi non sia
autore dell'intercettazione.
680
Così D'AIUTO - LEVITA, I reati informatici, op.cit., p.35.
331
Esemplificando, integra il reato in esame l'utilizzo da parte del titolare
di un esercizio commerciale, mediante l'impiego del terminale di cui è dotato
(cd. Pos), di carta di credito contraffatta, poiché tale utilizzo genera un flusso
di informazioni da parte del sistema computerizzato, diretto all'addebito della
spesa sul conto del titolare della carta di credito ed al corrispondente accredito
a favore dell'esercente commerciale681. Per fare un'esemplificazione che,
invece, potrebbe interessare l'ambito del d.lgs. 231/2001 (il cui art. 24 bis
stiamo analizzando nel dettaglio), si può sottolineare come sia ravvisabile il
reato di all'art. 617 quater c.p. a carico dell'amministratore di sistema (e quindi
dell'ente se sussistono i requisiti di cui all'art. 5, 6 e 7 del d.lgs. 231/2001,
anche a carico dell'ente il cui sistema, e quindi i cui dati, sono da questo
amministrati) il quale, mediante un programma appositamente inserito nel
sistema, intercetti le comunicazioni di posta elettronica indirizzate a membri
del CDA o a dipendenti dell'ente682.
L'art. 617 quinquies c.p. è prodromico rispetto all'art. 617 quater c.p. ed
anticipa la soglia di punibilità sanzionando quelle condotte che si limitano a
porre in pericolo l'integrità e la riservatezza della comunicazione. Si tratta di
un reato di pericolo concreto: il giudice dovrà escludere l'illiceità della
condotta qualora le apparecchiature installate non risultino idonee a provocare
alcuna intercettazione, interruzione o impedimento della comunicazione
informatica o telematica. In altri termini, la condotta vietata è rappresentata
dalla mera installazione delle apparecchiature, a prescindere dalla circostanza
che le stesse siano o meno utilizzate: la condotta non realizza alcuna concreta
lesione del bene protetto, ma si limita a rendere probabile il verificarsi di
quest'ultima683. Pertanto, nel caso in cui chi predispone dette apparecchiature
681
Cfr. Cass. pen. sez. V, 14 ottobre 2003, n. 44362.
Cfr. Cass. pen. sez. V, 6 luglio 2007, n. 31135.
683
Tale natura di reato di pericolo è confermata Cass. pen. sez. V, 9 luglio 2010, n.36601,
secondo cui la condotta di colui che installi, all'interno del sistema bancomat di un'agenzia di
banca, uno scanner per bande magnetiche con batteria autonoma di alimentazione microchip
682
332
proceda ulteriormente all’intercettazione, interruzione, impedimento o
rivelazione delle comunicazioni, troveranno applicazione più fattispecie
criminose cumulate: sia il 617 quater che il 617 quinquies.
§ 2.1.2 SECONDO COMMA
Passiamo ora ad analizzare il secondo comma dell'art. 24 bis d.lgs.
231/2001. Esso prevede due figure accessorie e prodromiche alle fattispecie
precedenti del primo comma: l'art. 615 quater, rubricato “detenzione e
diffusione abusiva di codici di accesso a sistemi informatici o telematici” e
l'art. 615 quinquies rubricato “diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico”. Per questi reati il d.lgs. 231/2001 abbassa il
massimo edittale a trecento quote, la giustificazione sta nel fatto che le
condotte dei reati in esame anticipano la soglia di punibilità, rispetto alle
fattispecie (appena analizzate) del primo comma.
A) Detenzione e diffusione abusiva di codici di accesso a sistemi
Gli articoli, 615 quater c.p. e 615 quinquies c.p. sono concepiti in ottica
preventiva: mentre il primo è finalizzato a prevenire gli accessi abusivi di cui
per la raccolta e la memorizzazione dei dati, al fine di intercettare comunicazioni relative al
sistema informatico, rientra nel delitto di cui all'art. 617 quinquies c.p. Così D'AIUTO LEVITA, I reati informatici, op.cit., p.35, i quali precisano che «trattandosi di reati di
pericolo, non è quindi necessario accertare, ai fini della sua consumazione, che i dati siano
stati effettivamente raccolti e memorizzati» e muovono una critica alla giurisprudenza che ha
ritenuto predicabile il tentativo in riferimento a questo reato, nonostante «l'incompatibilità
ontologica» sostenuta dalla maggior parte della dottrina rispetto ai reati di pericolo (Cfr.
Cass. pen. sez. II, 14 ottobre 2011, n. 40035 e Cass. pen. sez. V, 12 gennaio 2011, n. 6239).
Conformi sulla qualificazione come reato di pericolo dell'art. 617 quinquies c.p.: Cass. pen.
sez., 1 luglio 2011, n. 26048; Cass. pen. sez. V, 10 marzo 2010, n. 9675; Cass. pen. sez. II, 9
novembre 2007, n. 45207; App. Trento, 14 luglio 2010, n. 250; Uff. GIP Milano, 19 febbraio
2007. Con riferimento all'uso dello skimmer, apparecchio munito di telecamera e atto ad
intercettare le comunicazioni del sistema telematico e informatico del circuito bancario, Cfr.
Cass. pen. sez. V, 21 novembre 2011, n.42955. Sulla modalità di perpetuare il reato mediante
l'utilizzo di un keylogger si veda Cass. pen. sez. V, 23 febbraio 2011, n.7032.
333
all'art 615 ter, il secondo previene condotte di danneggiamento al sistema
attraverso la diffusione di programmi e virus.684
Con riguardo alla prima fattispecie il legislatore ha previsto una molteplicità di
condotte685: “chiunque abusivamente (...) si procura, riproduce, diffonde,
comunica o consegna” riferendosi a “codici, parole chiavi, o altri mezzi idonei
all'accesso ad un sistema informatico o telematico protetto da misure di
sicurezza” e ancora chiunque “comunque fornisce indicazioni o istruzioni
idonee al predetto scopo” (il “predetto scopo” è il dolo specifico686 espresso
dalla norma, ovvero il “fine di procurare a sé o ad altri un profitto o di arrecare
ad altri un danno”).
Secondo l'opinione maggioritaria si tratta di un reato di pericolo687, in quanto
si ha un divieto che punisce solo il rischio di una indebita intrusione (ed un
eventuale danneggiamento a seguire) in un sistema informatico, tale intrusione
è infatti prevista come condotta autonomamente sanzionabile da un altro
articolo che già abbiamo analizzato, ovvero l'accesso abusivo a un sistema di
cui al 615 ter c.p. Le condotte materiali descritte all'art. 615 quater, quindi,
non arrecano alcun danno di per sé all'integrità del sistema.
L'esempio più comune riguarda la diffusione di password per l'accesso
fraudolento ai sistemi di on-line banking, di web mail, o ai sistemi protetti di
importanza militare. Ad essi si aggiungono espedienti come backdoor, trojan
horse, procedimenti di key escrow e key recovery, deliberatamente inseriti
684
Sia l'articolo in esame che quello successivo (art. 615 quinquies) hanno quindi un
«contenuto concreto della finalità preventiva», questo rappresenta il loro comune
denominatore. Così AMATO - V.S. DESTITO - G. DEZZANI - C. SANTORIELLO, I reati
informatici, op.cit..p.88.
685
Le condotte vanno intese come alternative tra loro, in questo senso in dottrina si veda G.
AMATO - V.S. DESTITO - G. DEZZANI - C. SANTORIELLO, I reati informatici, op.cit..
p. 89; concorde Trib. Milano, 10 ottobre 2000, in Foro Ambrosiano, 2000, p. 474.
686
Si sottolinea come la previsione del dolo specifico e quindi «la tipicizzazione delle
intenzioni del soggetto agente (...) impedisce (fortunatamente), l'automatica e generica
applicazione della norma penale anche a chiunque, per motivi leciti, comunichi ad altri una
password di accesso a un sistema informatico». Così PICA, op.cit., p. 80.
687
Così G. D'AIETTI, La tutela dei programmi informatici, op. cit., p. 77. In senso contrario,
G. PICA, op.cit., p. 81, lo si deduce dal fatto che considera come «obiettivo immediato e
diretto di tutela la riservatezza dei codici di accesso, che sono giustamente considerati dal
legislatore alla stregue di qualità personali riservate, in quanto identificatrici della persona».
334
all'interno del software dai programmatori al fine di violare la riservatezza o
compromettere l'affidabilità dei sistemi. La giurisprudenza nell'elaborazione di
cosa si debba intendere per “codice di accesso”, ha evidenziato diverse
situazioni che integrano la fattispecie di cui all'art. 615 quater: Vediamone
alcuni esempi:
Cass. pen. sez. II, 17 dicembre, 2004, n. 5688: «integra il reato di
detenzione o diffusione abusiva di codici di accesso a servizi di
informatici o telematici di cui all'art. 615 quater c.p., la condotta di
colui che si procuri abusivamente il numero seriale di un apparecchio
telefonico cellulare, appartenente ad un altro soggetto, poiché attraverso
la corrispondente modifica del codice di un ulteriore apparecchio
(cosiddetta clonazione) è possibile realizzare una illecita connessione
alla rete di telefonia mobile, che costituisce un sistema telematico
protetto, anche con riferimento alle banche concernenti i dati esteriori
delle comunicazioni, gestite mediante tecnologie informatiche. Ne
consegue che l'acquisto consapevole ai fini di profitto di un telefono
cellulare predisposto per l'accesso alla rete di telefonia mediante i
codici di altro utente (‘clonato’) configura il delitto di ricettazione, di
cui costituisce reato presupposto quello ex art. 615 quater c.p.»688.
Cass. pen. sez. V, 29 maggio 2002, n. 24847: «in tema di detenzione e
diffusione abusiva di codici di accesso a sistemi informatici o
telematici, la detenzione di una scheda contraffatta (pic card) per la
decrittazione delle trasmissioni a pagamento (pay tv) configura il reato
di cui all'art. 615 quater c.p.».
688
Questo è un lampante esempio di trasversalità e propedeuticità dei reati informatici a reati
cd. classici. Questa condizione di alcuni reati informatici di, potremmo dire, reati “servili"
rispetto a molta parte delle condotte materiali di fattispecie classiche, deve essere considerata
al momento dell'implementazione del modello organizzativo, che non può perciò difettare
nella parte speciale relativa ai reati informatici. In questo caso al vaglio della Cassazione
l'art. 615 quater “serve” come presupposto, è propedeutico, al reato classico di ricettazione,
previsto all'articolo 648 c.p.
335
B) Diffusione di programmi diretti a danneggiare o interrompere un sistema
Passando all'analisi dell'art. 615 quinquies c.p. si noti, anche qui, la
molteplicità delle condotte materiali tipizzate che vengono in rilievo; esse
sono state moltiplicate dalla legge 48/2008: oltre alle condotte originarie
“diffonde, comunica, consegna”, ne sono state aggiunte altre, ovvero “si
procura, produce, riproduce, importa (...) mette a disposizione di altri”689; esse
hanno per oggetto “apparecchiature, dispositivi o programmi informatici”.
Anche qui siamo in presenza di una previsione di dolo specifico: “chiunque
(...) allo scopo di danneggiare illecitamente un sistema informatico o
telematico, le informazioni o i programmi in esso contenuti o ad esso
pertinenti, ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del
suo funzionamento”. L'originaria fattispecie, invece, prevedeva il dolo
generico. Anche qui ha operato una modifica della legge di ratifica della
Convenzione di Budapest, caldamente auspicata da tempo dalla dottrina: si
rischiava infatti, con la previsione di un elemento soggettivo quale il dolo
generico, di punire anche condotte lecite e inoffensive del bene giuridico
protetto690; grazie al dolo specifico l'area di rimproverabilità è stata ristretta
689
Autorevole dottrina si mostra d'accordo con la scelta del legislatore che afferma come la
norma in esame prevedeva un numero ridotto di condotte per «non anticipare eccessivamente
la soglia della punibilità, ma (si poneva, n.d.r.) in palese contraddizione con l'esigenza stessa
di creare un reato ostacolo o di mero pericolo, che per essere efficace si sarebbe dovuto
riferire ad uno stadio preventivo rispetto alla diffusione o comunque circolazione di siffatti
programmi», così L. PICOTTI, La ratifica della convenzione Cybercrime, op. cit., p. 708
690
Così L. DEGL'INNOCENTI, sub. art. 4, in Commento articolo per articolo alla l.
18/3/2008, n.48, op.cit., p. 265; nello stesso senso C. PARODI, Profili penali dei virus
informatici, in Dir. pen. proc., 2000, n.3, p. 635, il quale osserva come la previsione di dolo
generico faceva ricadere nell'ambito penalmente rilevante anche le attività lecite di ricerca e
studio (magari finalizzate proprio allo sviluppo di programmi antivirus); P. PERRI, La
diffusione di programmi diretti a danneggiare, in L. LUPARIA (a cura di), op.cit., pp. 75 ss.
che sottolinea come il dolo specifico faccia da contrappeso ad una norma di portata molto
ampia, dopo la moltiplicazione delle condotte tipiche in essa ricomprese, quindi, saluta con
favore la modifica operata dalla legge 48/2008 sull'elemento soggettivo; contra invece L.
PICOTTI, La ratifica della Convenzione Cybercrime, op.cit., p. 709 che sostiene come
«l'originaria formula che (tali programmi, n.d.r.) siano ‘diretti a danneggiare o interrompere
in un sistema informatico’ (...) è scomparsa dal testo della nuova norma, essendo stato
trasformato in mero oggetto del c.d. dolo specifico tutto il contenuto della complessa
proposizione, che prima serviva alla qualificazione di dannosità o pericolosità oggettive (...).
Trasformato nel contenuto della finalità soggettiva dell'agente, la tipizzazione degli elementi
336
alle sole condotte finalizzate alla realizzazione dell'evento lesivo vietato dalla
norma, ovvero il danneggiamento al sistema.
L'art. 614 quinquies è stato introdotto nell'ordinamento per tentare di arginare
il fenomeno dei virus informatici che, al momento della ratifica della
Convenzione di Budapest, erano diffusissimi691.
§ 2.1.3 TERZO COMMA
Il terzo comma dell'art. 24 bis prevede la responsabilità dell'ente in ordine a
due fattispecie: il falso informatico di cui all'art. 491 bis c.p. e la frode
informatica del soggetto che presta servizi di certificazione e di firma
elettronica, prevista dall'art. 640 quinquies c.p. Entrambe le fattispecie sono
accomunate dal fatto che in esse il sistema informatico o telematico è solo il
mezzo di esecuzione del reato e non, come invece accade nelle ipotesi
contemplate dai primi due commi, l'oggetto materiale della condotta692.
A) Falsificazione di documenti informatici
oggettivi di descrizione del reato è stata radicalmente impoverita». L'Autore così scrive,
nonostante comunque sottolinei che la legittimità della novella in esame, da parte della legge
48/2008 sulla fattispecie dell'art. 615 quinquies, la quale rispondeva in realtà alla previsione
dell'art. 6, comma secondo, della Convenzione di Budapest e lasciava piena facoltà agli Stati
aderenti circa l'esclusione della rilevanza penale di quei comportamenti che, sebbene
riferibili alla fattispecie delittuosa, non fossero determinati dal precipuo scopo di commettere
un reato.
691
Un virus informatico è un programma generato per modificare altri programmi allo scopo
di includervi in copia se stesso. Ogni programma infettato diventa a sua volta portatore del
virus e durante l'esecuzione infetta tutti gli altri programmi con cui viene a contatto. Quindi,
il virus è un programma composto da istruzioni che gli consentono di auto replicarsi
all'interno di un computer, passando da un sistema all'altro e svolgendo la funzione illecita
per la quale è stato creato. Ciascun nuovo virus lavora indipendentemente dal virus che lo ha
generato. La caratteristica principale del virus è quella di installarsi nelle memorie
elettroniche o di massa senza che l'utente se ne accorga, duplicandosi automaticamente e
diffondendosi esponenzialmente in caso di condivisione del sistema in rete. Essendo
programmi, i virus vengono attivati dallo stesso fruitore del programma, ignaro dei danni che
sta arrecando al proprio sistema, nel momento in cui lancia il programma ospite. Così
BOEZIO - BRUSTIA, I reati informatici, op.cit., p.270.
692
Così DEZZANI, Una nuova ipotesi di reato degli enti collettivi, op.cit., p. 78.
337
Affrontiamo
l'esame
dell’articolo
491
bis
c.p.,
tenendo
anche
in
considerazione le modifiche intercorse ad opera della legge 48/2008693.
L'articolo 491 bis c.p., rubricato “documenti informatici” permette di applicare
le diverse fattispecie di reato contemplate dal capo III del titolo VII del codice
penale anche nell'ipotesi in cui la condotta materiale abbia ad oggetto un
documento atto informatico. Ne deriva che, come per le fattispecie relative ai
falsi “classici” contenute nel codice penale, il bene giuridico protetto è la fede
pubblica, intesa come affidamento della collettività sulla genuinità di
determinati documenti e dei fatti in essi rappresentati; diverso, è solo l'oggetto
materiale dell'attività manipolatoria.
Analizzando il documento informatico di tipo pubblico694 è necessario
rammentare che, in relazione alle norme sul falso documentale, il concetto di
atto pubblico nel diritto penale è più ampio rispetto a quello desumibile dalla
definizione contenuta nell’articolo 2699 c.c. (e completata dall'art. 2700
c.c.)695. Nella nozione si ricomprendono infatti non solo i documenti redatti
con le richieste formalità da un notaio o altro pubblico ufficiale autorizzato ad
attribuirgli pubblica fede fino a querela di falso, ma anche i documenti non
redatti da un pubblico ufficiale in senso stretto, bensì da “impiegati dello
Stato, o di un altro ente pubblico, incaricati di un pubblico servizio”696
693
Di cui abbiamo già detto supra, si veda, in questo capitolo § 3.1.3, in cui si è affrontato il
tema della definizione di “documento informatico”.
694
E quindi dotato ex se di particolare valenza probatoria.
695
Come anche pacificamente riconosciuto dalla giurisprudenza, ad esempio: Cass. Pen. 18
marzo 2013, n. 12576. Nel diritto penale, l'atto pubblico si ritiene tale anche qualora non
faccia fede fino a querela di falso (lo si deduce implicitamente dal testo dell'art. 476 c.p.
capoverso e si riferisce ai casi di cui al comma primo dello stesso articolo) e anche qualora
non sia redatto da un pubblico ufficiale in senso stretto (lo si ricava dall'art. 493 c.p.
rubricato “falsità commesse da pubblici impiegati incaricati di un servizio pubblico”), due
caratteristiche queste invece irrinunciabili per la qualifica di atto pubblico secondo il codice
civile (si veda l'art. 2699 c.c. rubricato “atto pubblico” e l'art. 2700 c.c. rubricato “efficacia
dell'atto pubblico”). Secondo parte della dottrina, tra cui L. EUSEBI, una nozione di atto
pubblico penalistico così ampia ed incerta (sono stati fatti rientrare nel concetto di atto
pubblico documenti aventi le funzioni più svariate) genera un allargamento di un ambito
sicuro del punibile, che invece richiederebbe una definizione generale certa.
696
Così recita l'art. 493 c.p.
338
nell'esercizio delle loro attribuzioni, attestanti fatti da essi compiuti avvenuti in
loro presenza ed aventi attitudine ad assumere rilevanza giuridica.
Per essere tutelato al pari del suo equivalente cartaceo, il documento
informatico, deve inoltre avere efficacia probatoria; solo in questo caso infatti
potranno assumere rilevanza penale eventuali condotte falsificatorie697.
Affinché gli sia riconosciuta valenza probatoria, il documento dovrà però
essere sottoscritto con firma elettronica qualificata698; in caso contrario, potrà,
al limite, a discrezione del giudice, soddisfare il solo requisito legale della
forma scritta. Il fatto che si richieda che il documento abbia efficacia
probatoria attribuisce alla disposizione in esame natura di “norma penale in
bianco”, in quanto il perimetro del fatto illecito viene disegnato mediante
l'ausilio di norme extrapenali699. Le disposizioni extrapenali che rilevano sono
quelle del Codice dell'amministrazione digitale, in particolare gli artt. 20 e 21,
che affermano il principio della libera valutazione in giudizio della genuinità
del documento, tenuto conto delle caratteristiche oggettive di qualità,
sicurezza, integrità ed immodificabilità dello stesso. Inoltre, come si è detto, il
comma secondo dell'art. 21 garantisce un'efficacia probatoria privilegiata ai
documenti sottoscritti mediante firma elettronica avanzata, qualificata o
digitale,
che
garantisca
l'identificabilità
dell'autore,
l'integrità
e
l'immodificabilità del documento. L'impiego di questa misura attribuisce al
documento informatico l'efficacia probatoria prevista dall'art. 2702 c.c., per il
quale “la scrittura privata fa piena prova, fino a querela di falso, della
provenienza delle dichiarazioni di chi l'ha sottoscritta, se colui contro il quale
697
Sul punto si veda M. SCOLETTA, Il nuovo regime delle falsità informatiche., in L.
LUPARIA, Sistema penale e criminalità informatica, op. cit, pp. 8 ss.
698
Stare al passo con le definizioni normative, primarie e secondarie, relative alla firma
digitale è impresa non poco conto. Per non gravare eccessivamente l'esposizione basti qui
ricordare che la firma elettronica qualificata (o firma digitale) fornisce al documento
informatico, con questa sottoscritto, la stessa efficacia della scrittura privata (art. 2701 c.c.).
Per approfondire si veda P. FRATINO, Le regole per il trattamento dei documenti elettronici
con validità legale, M. MEGALE (a cura di), Diritto e Internet. Aspetti di informatica
giuridica, Mondadori Università, 2007, pp. 41 ss.
699
A. GENTILI, Le tipologie di documento informatico dopo il D.P.R. n. 137/2003: effetti
sostanziali ed effetti probatori, in Dir. Inf., n.4 e 5, 2003, pp. 681 ss.
339
la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è
legalmente considerata come riconosciuta”700.
Per ciò che attiene l'elemento soggettivo la Convenzione di Budapest
aveva suggerito agli Stati firmatari di prevedere, per il reato in esame, la
punibilità delle sole condotte poste in essere fraudolentemente o con analogo
intento delittuoso. Il legislatore italiano, tuttavia, ha preferito differenziare
l'elemento soggettivo richiesto a seconda della natura, pubblica o privata, del
documento oggetto di attività manipolatoria. Qualora infatti la condotta
falsificatoria venga posta in essere in relazione a un documento pubblico nella
sua forma digitale, è sufficiente il dolo generico, ovvero consapevolezza e
volontà di alterare la veridicità dei dati presenti nell'atto. Non si richiede
quindi un animus nocendi o decipiendi, in quanto il reato è perfetto anche
qualora la falsità sia compiuta senza l'intenzione di nuocere e, addirittura,
anche nel caso in cui la condotta sia accompagnata dalla convenzione di non
produrre alcun danno. Conseguentemente, è anche irrilevante il fatto che
l'agente non abbia agito al fine di procurare un vantaggio a sé o ad altri o un
danno ad altri o, addirittura, con lo scopo di voler rimediare ad un precedente
errore. Al contrario, nel caso in cui l'atto rivesta natura di documento privato
per la punibilità della condotta a titolo di falso701 si richiede il dolo specifico,
dal momento che l’azione falsificatoria deve essere determinata dalla finalità
di procurare a sé o ad altri un vantaggio oppure di recare ad altri un danno.
Si è già avuto modo di delineare quelli che sono i requisiti di natura
oggettiva e soggettiva richiesti per potersi applicare la disciplina prevista dal
decreto702. La questione più rilevante in merito al delitto di falso informatico,
anche dal punto di vista tecnico, consiste nell'accettare se la falsificazione dei
documenti informatici sia stata effettivamente posta in essere da uno dei
700
Per approfondire l'efficacia probatoria del documento informatico prima della legge
48/2008 si veda M. GROTTO, Regime giuridico del falso informatico e dubbi sulla funzione
interpretativa dell'art. 491 bis, in Dir. inf, n. 4 e 5, 2006, p.589.
701
Come specificato dall’articolo 485 c.p.
702
Cfr. Capitolo II.
340
soggetti indicati dagli articoli 6 e 7 del d.lgs. 231/2001. L'individuazione del
soggetto effettivamente responsabile comporta infatti profili di particolare
complessità ove si consideri che il documento informatico, per sua stessa
natura, è caratterizzato da una tendenziale accessibilità da parte di una
pluralità, potenzialmente indistinta, di soggetti. Anche l'assegnazione di una
password individuale di accesso e le conseguenti registrazioni informatiche
circa l'utilizzo di tale password sono accorgimenti necessari, ma non
sufficienti a raggiungere un'identificazione univoca data la prassi, tanto
scorretta quanto diffusa nelle aziende, della condivisione di fatto, tanto delle
password, quanto delle postazioni autorizzate all'accesso ai sistemi.
Tralasciando per ora le questioni relative alla tutela dei dati personali e
dei diritti dei singoli lavoratori703, sul punto si può comunque segnalare come
lo sviluppo tecnologico venga in aiuto delle forze dell'ordine tramite sistemi
che consentono di effettuare un auditing continuo e puntuale dei file system,
riuscendo in questo modo, per ogni singolo documento, ad identificare tutta la
cronistoria delle modifiche intercorse, dalla creazione alla cancellazione del
file, passando anche per stampe ed eventuali trasferimenti copie anche su
supporti esterni.
B) Frode informatica del certificatore di firma elettronica
Passiamo ora ad esaminare la seconda fattispecie di cui al terzo comma
dell'art. 24 bis: l'art. 640 quinquies c.p rubricato “frode informatica del
soggetto che presta certificazione di firma elettronica”.704
703
Si veda in questo capitolo § 3.3.3
La firma elettronica si è molto diffusa anche perché non può essere disconosciuta dal
firmatario, rectius, non con la stessa assai semplice procedura prevista per il documento
cartaceo. Si precisa che esiste una clausola di sussidiarietà espressa tra la fattispecie di frode
informatica del certificatore e il delitto di frode informatica aggravata (in danno allo Stato o
ad altro ente pubblico): la prima potrà venire in rilievo solo qualora non sia configurabile
anche la seconda. In questi casi si applica solo l'art. 24 d.lgs. 231/2001 e non l'art. 640
quinquies ex art. 24 bis. Questo accade sebbene si tratti di fattispecie con elementi costitutivi
del tutto eterogenei e poste a tutela di beni giuridici differenti. Così MORGANTE,
Premessa, in Commento articolo per articolo alla l. 18/3/2008, n. 48, op. cit., p. 253.
704
341
Per ciò che attiene alla condotta materiale, si punisce la violazione degli
obblighi previsti dalla legge per il rilascio di un certificato qualificato: in
particolare si tratta degli obblighi di controllo e garanzia previsti dall'articolo
32 del d.lgs. 82/2005 (Codice dell'Amministrazione digitale, CAD). Si tratta di
un reato proprio, esso infatti può essere posto in essere solo dal soggetto che
presta servizi di certificazione delle firme elettroniche o che fornisce altri
servizi connessi con queste ultime (in relazione a quella che è la definizione
contenuta nel CAD, all'articolo 1 lett. g).
Pur trattandosi, tuttavia, di un reato proprio, non è escluso che possa ravvisarsi
(nell’ipotesi del fatto commesso al fine di procurare ad altri un ingiusto
profitto) il concorso dell'extraneus (solitamente coincidente con il richiedente
il certificato) nel caso in cui risulti che questi abbia posto in essere un
contributo
efficiente,
perlopiù
di
ordine
psicologico
(ad
esempio
un'istigazione) rispetto alla realizzazione della condotta incriminata.
È un reato a dolo specifico, in quanto si punisce “il soggetto che presta servizi
di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri
un ingiusto profitto ovvero di arrecare ad altri un danno, viola gli obblighi
previsti dalla legge per il rilascio di un certificato qualificato”705. Ciò
comporta che è esclusa ogni rilevanza ad inosservanze semplicemente
negligenti, che troveranno la loro sanzione (solo civile), secondo le
disposizioni del CAD.
La ratio della norma (introdotta, come visto, dall'art. 5 della legge 48/2008)
risiede nella necessità di attribuire rilevanza penale a condotte che non
potevano essere sussunte nella fattispecie di frode informatica di cui all'art.
640 bis c.p. «in quanto nel caso dell'attività di certificazione potrebbero non
705
M. GROTTO, Reati informatici e Convenzione Cybercrime: oltre la truffa e la frode
informatica: la frode del certificatore, in Dir. inf., 2009, n. 1, pp.139 ss.
342
ricorrere le condotte di ‘alterazione del funzionamento di un sistema’ o di
‘intervento senza diritto su dati, informazioni, o programmi’»706.
La dottrina ha formulato alcune riserve a riguardo: prima di tutto, la
collocazione sistematica della fattispecie in esame è opinabile. Sarebbe stato
più corretto inserire la norma tra i reati contro la fede pubblica, piuttosto che
tra i delitti contro il patrimonio707, dato che «tale fattispecie è accomunata alle
falsità informatiche e alla nuova figura dell'art. 495 bis c.p. dalla funzionalità
alla tutela dell'affidamento collettivo nel traffico giuridico informatico»708. In
secondo luogo l'inserimento della fattispecie di frode del certificatore subito
dopo la truffa, con implicito rimando a questa, è un errore: il richiamo alla
truffa è solo nominale, posto che la condotta tipica prevista all'art. 640
quinquies c.p. difetta di tutti gli elementi costitutivi della fattispecie di cui
all'art. 640 c.p.709 Il requisito della fraudolenza, tipico della fattispecie di
truffa, è del tutto assente, non è richiesto alcun requisito di artificiosità,
raggiro o di simulazione di una falsa apparenza, ma è sufficiente la violazione
di uno degli obblighi stabiliti dalla legge extra penale, ovvero alla violazione
di procedure di certificazione stabilite dalla legge, da individuarsi nelle
incombenze prescritte all'art. 32 comma secondo e seguenti del CAD 710.
706
Così L. PICOTTI, La ratifica della Convenzione Cybercrime del Consiglio d'Europa.
Profili di diritto penale sostanziali, in Dir. pen. proc., n.6, 2008, p. 706. l'Autore riporta la
ratio legis contenuta nella relazione ministeriale alla legge 48/2008.
707
SARZANA DI S. IPPOLITO, Informatica, internet e diritto penale, op.cit., p. 652.
708
SCOLETTA, Il nuovo regime delle falsità informatiche, op.cit., p. 28.
709
Così la stragrande maggioranza della dottrina, ex multis si veda MORGANTE, sub. art. 5,
in Commento articolo per articolo alla l. 18/3/2008 n. 48, op. cit., p. 273.
710
L. PICOTTI, La ratifica della Convenzione Cybercrime del Consiglio d'Europa. Profili di
diritto penale sostanziali, in Dir. pen. proc., n.6, 2008, p. 706; concorde SANTORIELLO, I
reati informatici dopo le modifiche apportate dalla legge 48/2008 e la responsabilità degli
enti, in La responsabilità degli enti, n.1, 2011, pp. 211 ss.
343
§
2.2
NON
INTERDITTIVE
SOLO
EX
SANZIONI
ART.
24
PECUNIARIE:
BIS
E
ALCUNE
LE
SANZIONI
RIFLESSIONI
SULL'APPLICAZIONE DELLE MISURE CAUTELARI RELATIVE AI
COMPUTER CRIMES
Dopo aver delineato le fattispecie di reati informatici che possono
determinare la responsabilità dell'ente, occorre osservare come il corredo
sanzionatorio previsto dall'art. 24 bis d.lgs. 231/2001 in analisi non si
esaurisca nelle pene pecuniarie per essi previste711. Alla commissione di reati
informatici ad opera di persone apicali o subordinate, nell'interesse o
vantaggio dell'ente, conseguono, infatti, anche sanzioni interdittive tipizzate
nel quarto comma dell'articolo in esame.
Seguendo i tre raggruppamenti dei delitti informatici sopra descritti utilizzata
dal legislatore, si noti come ai reati del primo gruppo, previsti al primo comma
dell'art. 24 bis d.lgs. 231/2001, si applichino le sanzioni dell'interdizione
dell'esercizio dell'attività, della sospensione della revoca delle autorizzazioni,
licenze o concessioni funzionali alla commissione dell'illecito e del divieto di
pubblicizzare beni o servizi. La commissione di un reato informatico previsto
al secondo comma, comporta l'irrogazione delle medesime sanzioni
interdittive, eccetto per l'interdizione dall'esercizio dell'attività. Infine, nei casi
di condanna per uno dei delitti di cui al comma terzo, vengono applicate le
interdizioni previste, di cui al comma secondo lettera c, d, ed e dell'art. 9 d.lgs.
231/2001, ovvero il divieto di contrattare con la pubblica amministrazione,
salvo che per ottenere la prestazione di un pubblico servizio, l'esclusione da
agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli
concessi e la sanzione del divieto di pubblicizzare beni o servizi.
711
Le sanzioni pecuniarie previste sono state descritte al paragrafo § 3.2.1 e differenziate per
ogni gruppo di articoli di cui ai commi primo, secondo e terzo dell'art. 24 bis d.lgs.
231/2001.
344
Come si può notare il corredo sanzionatorio è alquanto severo. Sbaglia quindi,
a giudizio di chi scrive, chi persevera nel sottovalutare i delitti informatici712,
ormai, a tutti gli effetti reati presupposto del d.lgs. 231/2001 e che come tali
non sfuggono nemmeno all'anticipazione degli effetti sanzionatori. Infatti,
l'art. 45 del d.lgs. 231/2001 introduce un parallelismo perfetto tra sanzioni e
cautele. Tale assimilazione ha portato la dottrina a definire le misure cautelari
previste «una criptopena, (...) più protesa ad anticipare la decisione che a
svolgere una funzione strumentale al processo»713. Non si può tacere che le
misure cautelari dovrebbero, per definizione, avere un carattere di
temporaneità, tuttavia quest'ultimo sembra alquanto «apparente»714. Basti, a
titolo di esempio, enunciare il caso della revoca di autorizzazioni, licenze e
concessioni (che è prevista anche in caso di delitti informatici, di cui al comma
primo art. 24 bis) notando come: «decorso il tempo fissato nella sentenza di
condanna come durata della sanzione (...) la persona giuridica non ha infatti un
712
Tale atteggiamento di sufficienza nei confronti dei delitti informatici è sottolineato da
autorevoli voci dottrinali come C. SARZANA DI S. IPPOLITO, il quale riconosce
apertamente che, anche in ambiente accademico, gli specialisti di diritto penale informatico
siano visti dai «guru del diritto penale» come i «parvenu» del diritto criminale (si veda ID.,
Introduzione alla terza edizione, in Informatica, internet e diritto penale, op.cit.). Stando
così le cose, è del tutto naturale che se fin dai chiostri dell'università la materia
dell'informatica giuridica viene “messa in un cantuccio”, molto difficilmente si potrà arrivare
ad una maggiore consapevolezza del rischio informatico in ambito professionale e aziendale
(attualmente quasi nulla, come dimostra lo studio empirico di P. PREVITALI, Modelli
organizzativi e compliance aziendale. L'applicazione del d.lgs. 231/2001 nelle aziende
italiane, op.cit.). Tutto ciò nonostante, come avvisa un'altra voce autorevole, dal 2008: «le
aziende italiane non possono più snobbare i reati informatici» (P. GALDIERI, op.cit.);
rectius, possono, ma non sono affatto consapevoli dei rischi sanzionatori e cautelari a cui
così vanno incontro.
713
Così G. FIDELBO, Le misure cautelari, op.cit., p. 504. Contra F. NUZZO, Le misure
cautelari, in Dir. pen. proc., n. 12, 2001, p. 1488. Fortemente critico verso l'impropria
sovrapposizione tra misure cautelari e sanzioni anche F. PERONI, Il sistema delle cautele, in
G. GARUTI (a cura di), Responsabilità degli enti per gli illeciti amministrativi dipendenti da
reato, Cedam, 2002, p. 246, il quale rileva una «identità nazionale eccessivamente appiattita
sul crisma sanzionatorio» nonché C. PIERGALLINI, I reati presupposto alla responsabilità
dell'ente e l'apparato sanzionatorio, in G. LATTANZI (a cura di), Reati e responsabilità
degli enti, Giuffrè, 2010, p.229, il quale afferma come si sia di fronte a «sanzioni
incapacitanti, che possono paralizzare l'attività dell'ente (interdizione allo svolgimento
dell'attività), oppure condizionarla attraverso la limitazione della sua capacità giuridica».
714
Come osservato fin da subito da A. TRAVI, La responsabilità della persona giuridica nel
d.lgs. 231/2001: prime considerazioni di ordine amministrativo, in Le Società, 2001, p.
1307.
345
diritto a vedere ripristinata la propria posizione giuridica derivante dalla
concessione, licenza o autorizzazione sospesa, sicché l'effetto concreto della
sanzione stessa è destinato a propagarsi oltre il termine normativamente
fissato»715. L'applicabilità, quindi, di tale misura in sede de libertate è stata
messa in forte dubbio, apparendo priva della caratteristica essenziale ed
intrinseca ad ogni misura cautelare, quella della temporaneità. A questo
proposito la dottrina ha avanzano una soluzione che verte sull'esclusione
dell'impiego della revoca dei provvedimenti autorizzativi in sede cautelare «in
ragione della natura irreversibile dei suoi effetti, riconoscendo uno spazio
applicativo unicamente alle loro ipotesi di sospensione»716. Anche la
giurisprudenza ha sviluppato un'interpretazione adeguatrice per la quale tali
misure, in sede cautelare, presentano necessariamente il connotato della
temporaneità, dovendosi quindi parlare non di revoca o sospensione, bensì di
“sospensione temporanea”717.
Le sanzioni interdittive previste dal comma quarto dell'art. 24 bis d.lgs.
231/2001 costituiscono un elenco tassativo. Preso alla lettera l'art. 45 d.lgs.
231/2001 potrebbe indurre ad ammettere la possibilità di ricorrere in sede
cautelare a ognuna delle sanzioni interdittive previste all'art. 9 d.lgs. 231/2001;
tuttavia resta condiviso unanimemente che tale interpretazione letterale non
715
Così F. MUCCIARELLI, Le sanzioni interdittive temporanee del d.lgs. 231/2001, in E.
DOLCINI - C. E. PALIERO (a cura di), Studi in onore di Giorgio Marinucci, vol. III,
Milano, 2006, p. 2504.
716
Così A. PRESUTTI, Le cautele interdittive nel processo de societate al vaglio della
sperimentazione applicativa, in P. CORSO - F. PERONI (a cura di), Studi in onore di Mario
Pisani, Piacenza, 2010, vol. I, p. 709. L'Autrice afferma che «la revoca dei vantaggi
economici è testualmente definita eventuale e prevista congiuntamente alla loro esclusione
(...) ambedue sostanziano una fattispecie unitaria ed inscindibile così da precludere
l'applicazione autonoma della revoca della misura che, semmai, può accedere alla sua
esclusione, rafforzandone la sua efficacia» e ancora «l'esclusione delle agevolazioni
finanziarie si riduce ad una inibizione temporanea del beneficio, indubbiamente evitando
all'ente di fruirne in futuro; ove se ne dispone pure la revoca, ad essa si aggiunge un effetto
sospensivo dei finanziamenti in corso di erogazione, che nondimeno, lascia indenni quelli
già percepiti».
717
Così G. FIDELBO, op.cit., p. 508, nota 10.
346
possa trovare accoglimento718. Questo perchè l'art. 46 capoverso719 del d.lgs.
231/2001 identifica il limite intrinseco all'applicabilità indiscriminata delle
sanzioni interdittive: una comminatoria di sanzioni interdittive è impedita non
solo quando per un reato presuposto è prevista la sola pena pecuniaria, ma
anche quando una specifica sanzione interdittiva non risulta essere applicabile
all'esito del procedimento720.
Approfondendo lo studio delle condizioni di applicabilità delle misure
cautelari e quindi dell'art. 45 d.lgs. 231/2001, non si può fare a meno di notare
come il tenore della norma sia talmente generico da suscitare dubbi di
legittimità costituzionale per collisione con il principio di determinatezza721. Si
osserva come «pur riproducendo lo schema codicistico del fumus bonis iuris e
del periculum in mora (v. art. 273 e 274 c.p.p.), la disciplina relativa alle
condizioni di applicabilità delle misure cautelari interdittive appare alquanto
718
P. MOSCARINI, Le cautele interdittive penali contro gli enti, in Riv. dir. proc., 2003, n.
4, p. 1111, definisce «aberrante» tale interpretazione. Cfr. inoltre G. VARRASO, Il
procedimento per gli illeciti amministrativi dipendenti da reato, Giuffrè, 2012, p. 191, che
precisa che «lo stretto collegamento creato, poi, dall'art. 45 d.lgs. 231 del 2001 con il rinvio
all'art. 9 comma 2 d.lgs. n. 231 del 2001 con le sanzioni finali crea un inedito ‘presupposto
edittale’» e ancora «poiché ad alcuni reati-presupposto si correla solo una pena pecuniaria,
mentre altri illeciti descritti dagli art. 24 ss. d.lgs. n. 231 del 2001 ammettono l'applicabilità
di ben precise pene interdittive e non di tutte quelle elencate nell'art. 9 comma 2 d.lgs. n. 231
del 2001, deve affermarsi che le cautele de quibus possono riguardare l'illecito solo se
punibile con le sanzioni interdittive e secondo la tipologia consentita, non potendosi adottare,
in via anticipata, pene estranee ad una eventuale sentenza di condanna: le esigenze cautelari
non possono soddisfarsi con l'imposizione di un provvedimento provvisorio più grave di
quello che chiude il processo».
719
Il quale afferma che «ogni misura cautelare deve essere proporzionata all'entità del fatto e
alla sanzione che si ritiene possa essere applicata all'ente».
720
Cfr. I. ABRUSCI, Misure cautelari e sanzioni agli enti: proporzione o rigidità
normativa? Nota a sentenza Cass. pen. sez II, 26 febbraio 2007, n. 10500, in Riv. trim. dir.
pen. ec., n. 3, 2008, p. 725.
721
Così G. PAOLOZZI, Vademecum per gli enti sotto processo, Giappichelli, 2006, pp. 149
ss. Contra la giurisprudenza di legittimità, la quale afferma che il principio della riserva di
legge è ben rispettato dall'art. 45, il quale indica anche i precisi presupposti che ne escludono
una arbitraria applicazione e rendono l'inflizione della misura cautelare a fini preventivi
perfettamente ragionevole (Cass. pen., sez. VI, 16 febbraio 2012, n. 1248); si veda il
commento di S. BELTRANI, La compatibilità del sistema cautelare del d. lgs. 231/2001 con
il principio di riserva di legge, il commento di in La responsabilità amministrativa delle
società e degli enti, n. 4, 2012, pp. 155 ss.
347
articolata, in virtù della struttura complessa dell'illecito ‘amministrativo’
derivante da reato»722.
Devono sempre sussistere, secondo la gravità indiziaria tipica del giudizio
cautelare, i presupposti per comminare le omologhe pene finali ex art. 13
d.lgs. 231/2001. In particolare, oltre ai criteri di ascrizione del reato all'ente
previsti dagli articoli 5, 6, e 7 del d.lgs. 231/2001, il principio di
corrispondenza tra la cautela e la sanzione in concreto irrogabile impone la
valutazione di ulteriori elementi prescritti dall'art. 13 lettera a 723, ovvero l'aver
l'ente tratto un profitto di rilevante entità e l'essere il reato stato commesso da
soggetti apicali ovvero subordinati, quando la commissione sia stata
determinata dal deficit organizzativo. Quest'ultima disposizione menziona
anche la reiterazione degli illeciti al comma secondo, lettera b, tuttavia tale
circostanza non sembra comunque dover essere accertata ai fini cautelari,
posto che implica per la sua configurabilità, la recidiva724 incompatibile con
l'esigenza cautelare prevista dall'art. 45, ovvero il mero pericolo di reiterazione
di un reato della stessa indole.
722
Così G. VARRASO, Il procedimento per gli illeciti amministrativi dipendenti da reato,
Giuffrè, 2012, p. 191.
723
Cfr. sul punto A. BASSI - T. EPIDENDIO, Enti e responsabilità da reato, Giuffrè, 2006,
p. 397; la giurisprudenza di merito (Trib. Agrigento 18 luglio, 2005, in Giur. merito, 2005,
n. 5, 2005, p. 1258) ha escluso la possibilità di disporre in via cautelare la restituzione di un
finanziamento già erogato, dato che tale effetto è proprio soltanto della sanzione definitiva,
mentre la finalità di vedere conservato il patrimonio societario può ben essere perseguita
attraverso la misura cautelare del sequestro conservativo. Riguardo al “profitto di rilevante
entità”, esso, afferma la giurisprudenza di legittimità, costituisce un presupposto necessario,
ma non deve essere determinato nel suo esatto ammontare, può anche essere dedotto dalla
natura e dal volume del business d'impresa (così Cass. pen. sez. II, 20 dicembre 2005, n.
3615; Cass. pen. sez. VI, 19 ottobre 2005, n. 44992).
724
Ovvero l'effettiva ricaduta criminale dell'ente, essa potrà costituire al massimo un
elemento idoneo a ritenere fondato il pericolo di un'ulteriore reiterazione dell'illecito. In caso
di pericolo di inquinamento probatorio non è prevista una misura cautelare, ciò è giustificato
con il fatto che le misure cautelari verso la persona fisica, in questo caso, sono sufficienti, ma
sul punto la dottrina non è concorde. La dottrina risulta invece concorde sul fatto che non sia
previsto un pericolo di fuga stante il «difetto del sostrato biologico» e qualora si volesse
assimilare alla fuga la trasformazione dell'ente che lo sottragga così al processo ovvero a
forme di sottrazione dei beni con i quali l'ente dovrebbe far fronte alle proprie responsabilità,
dette esigenze risultano comunque salvaguardate dal d.lgs. 231/2001 attraverso le norme di
cui alla sezione seconda e del capo secondo. Così BASSI - EPIDENDIO, op.cit., p. 416
348
Occorre operare l'esclusione delle misure cautelari interdittive quando, come
afferma l'art. 13 comma terzo (mediante un rinvio all'art. 12 comma 1) quando
la condotta illecita è stata posta in essere nel prevalente interesse proprio o di
terzi e il vantaggio ricavato dall'ente sia stato minimo, nonché in caso di danno
patrimoniale di particolare tenuità. In secondo luogo rileva l'art. 17 d.lgs.
231/2001, per il quale nessuna cautela può trovare applicazione nei confronti
dell'ente quando questo ponga in essere comportamenti autoriparatori, i quali
comprovano il proprio ravvedimento e rendono superflui i meccanismi
interdittivi previsti725. Tale disposizione essendo protesa al contenimento del
momento
punitivo,
privilegia
e
potenzia
la
vocazione
tipicamente
specialpreventiva del sistema, richiedendo che prima della dichiarazione di
apertura del dibattimento l'ente risarcisca integralmente il danno ed elimini le
conseguenze dannose o pericolose del reato o, comunque si adoperi in tal
senso, nonché adotti idonei modelli organizzativi e gestionali e, infine, che
metta a disposizione il profitto conseguito ai fini della confisca726.
725
Sul punto la dottrina avanza alcune perplessità, mettendo in guardia sul fatto che la
previsione di trattamenti più favorevoli all'ente «a fronte di restituzioni e spontaneo
ravvedimento durante il processo, per un verso, rischia di propiziare ammissioni di colpa e
assunzioni di comportamenti riparatori che prescindono dall'accertamento dell'illecito (...) e,
per altro verso, determinano il rischio che ad essere puniti siano coloro che non collaborano
e non si riallineano spontaneamente al canone della legalità più che a coloro che abbiano
commesso illeciti amministrativi», così C. FRANZONI, Il sistema sanzionatorio e cautelare.
Riflessioni sull'effettività,in C. BERNASCONI (a cura di), Il processo de societate, Giuffrè,
2007, p.107; nello stesso senso A. PRESUTTI, Le cautele interdittive nel processo de
societate, op.cit., p. 722, che afferma come il modello organizzativo adottato ex post sia
«uno strumento perfettamente in linea con la finalità specialpreventiva, ma che si appalesa in
pieno contrasto con i canoni costituzionali del sistema processuale, primo tra tutti la
presunzione di innocenza». Per un approfondimento in materia di misure cautelari e in
generale sui profili processuali del processo de societate, si veda il recente lavoro di G.
VARRASO, Il procedimento per gli illeciti amministrativi dipendenti da reato, Giuffrè,
2012.
726
Va precisato che l'adozione di protocolli organizzativi successivamente al verificarsi del
reato presupposto è cosa diversa dal generale onere organizzativo previsto all'art. 6 del d.lgs.
231/2001. Infatti, l'attività preventiva realizzata tramite una compliance post factum non
coinvolge la totalità dei reati presupposto contemplati dallo stesso decreto, ma attiene alla
sola fattispecie in concreto verificatasi, come precisa l'art. 17 lettera b. Sul punto, in
giurisprudenza, Trib. Roma, uff. g.i.p., ord. 4 aprile 2003, in Cass. pen., 2003, n. 10, p. 2803,
in dottrina G. AMATO, Con l'eliminazione delle situazioni di rischio le misure cautelari
diventano superflue, in Guida dir., n.31, 2003, p. 72; naturalmente tale restrizione del rischio
di reato da prevenire agevola l'ente, ma dall'altro lato le soluzioni a cui questo perviene
349
Tali cause di esclusione delle misure cautelari interdittive sono ricavabili dalla
norma, ma sembra possibile affermare che alcuni reati informatici previsti
all'articolo 24 bis del d.lgs. 231/2001 non possano essere compatibili con le
cautele interdittive per un’incompatibilità strutturale di fondo. Ci si riferisce
alle fattispecie informatiche in senso stretto che sono accomunate dal rientrare
nella categoria dei reati di pericolo, che prevedono, quindi, un'anticipazione
della soglia di punibilità, la quale esclude la realizzazione di un evento inteso
in senso naturalistico, così la condotta tipizzata dalle disposizioni richiamate
non è in grado di dar vita ad una sequenza di eventi capaci di generare per
l'ente quel profitto di rilevante entità richiesto ex art 13 lettera a, che è
elemento indefettibile per l'applicazione di misure interdittive, soprattutto in
sede cautelare. È questo il caso, ad esempio, degli articoli 617 quinquies c.p.
(installazione di apparecchiature atte ad intercettare, impedire o interrompere
illecitamente comunicazioni informatiche o telematiche, nonché degli articoli
615 quater e quinquies c.p. (detenzione o diffusione abusiva di codici
d'accesso a sistemi informatici e la diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico).
§ 2.3 LE DISPOSIZIONI NON PIÙ PRESENTI NELL'ART. 24 BIS: LE
OCCASIONI PERSE
Lo spettro delle fattispecie contenute nell'art. 24 bis del decreto 231/01
avrebbe potuto essere più ampio. In effetti, nel 2013 lo è stato (per quasi due
mesi). Nel d.l. 93/2013 (cd. decreto anti-femminicidio)
727
era stata predisposta
saranno sottoposte ad un vaglio giudiziale maggiormente rigoroso, poiché il modello posto in
essere ex post dovrà, tenendo conto della storia dell'ente e dei segnali di rischio che si sono
manifestati, colmare le carenze organizzative che hanno favorito la commissione dell'illecito
(questo senza però tradire la necessaria natura prognostica del giudizio di idoneità del
modello).
727
La prescrizione dell'inclusione dei “delitti privacy” tra i reati presupposto del d.lgs.
231/2001 si è avvalsa del “veicolo” della delicata disciplina sul femminicidio, senza
350
una modifica al primo comma dell'art. 24 bis integrando al suo interno tre
nuove previsioni728:
1) la fattispecie di frode informatica aggravata dalla sostituzione
dell'identità digitale, ex art. 640-ter comma 3 c.p.;
2) il delitto di indebito utilizzo, falsificazione, alterazione e ricettazione di
carte di credito o di pagamento, anche detto, sinteticamente, reato di
“clonazione di carte di credito”729 di cui all'art. 55 comma 9 del d. lgs.
231/2007 (decreto attuativo della direttiva 2005/60/CE, concernente la
prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio
dei proventi di attività criminose e di finanziamento del terrorismo
nonché della direttiva 2006/70/CE che riguarda le misure di
esecuzione);
3) i cd. delitti privacy (ma non le contravvenzioni) di cui alla parte III,
titolo III, capo II del d.lgs. 196/2003 (Codice Privacy), ovvero i reati di
trattamento illecito dei dati personali (art. 167), falsità nelle
dichiarazioni e notificazioni al Garante (art. 168) e inosservanza
dell'obbligo di misure di sicurezza (art. 169)730 e dei provvedimenti del
Garante (art. 170).
un'apparente logica di fondo, se non quella di sfruttare, appunto il “mezzo veloce” del
decreto. Chi scrive preferisce tralasciare in questa sede i dubbi sollevati dalla discutibile
correttezza costituzionale dell'accorpamento di argomenti così variegati, privi di
collegamento logico, in un unico decreto legge, profilo sul quale la Corte costituzionale si è
già espressa in senso critico. Senza contare che il ricorso stesso allo strumento del decreto
legge per l'aggiornamento di strutture normative complesse, come quella delineata dal d.lgs.
231/2001, non consente di disporre dei tempi parlamentari necessari per una ponderata
riflessione e dibattito.
728
Si tratta del decreto legge 14 agosto 2013, n. 93, circa “disposizioni urgenti in materia di
sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di
commissariamento delle province” (cd. decreto anti-femminicidio). Il testo inserito recitava:
“In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice
penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21
novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30
giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento
quote”.
729
D'AIUTO - LEVITA, I reati informatici, op.cit., p. 37.
730
Si segnala che nella relazione dell'Ufficio del Massimario e del Ruolo di Cassazione n.
III/03/2013 già citata, è assente la menzione dell'art. 169 Codice Privacy; tuttavia si ritiene
351
Il d.l. 93/2013, però, è stato convertito in legge privo delle modifiche relative
all'art. 24 bis del d.lgs. 231/2001, che quindi sono decadute in sede di
conversione (legge 15 ottobre 2013, n. 119) «senza peraltro che dai lavori
parlamentari emergano le ragioni di tale scelta radicale»731.
Analizziamo le fattispecie delle “occasioni perse”732: si tratta due
fattispecie facenti parte della categoria dei delitti informatici in senso stretto
(artt. 640-ter comma 3 c.p. e 55 comma 9 d.lgs.231/2007) e di tre fattispecie di
che anche questo articolo fosse da ritenersi aggiunto dal d.l. 93/2013 all'art. 24 bis, in quanto
il d.l si riferiva ai tutti i reati «di cui alla Parte III, Titolo III, Capo II del decreto legislativo
30 giugno 2003, n. 196».
731
Così la Cass. Ufficio del Massimario e del Ruolo, Relazione n. III/03/2013, p. 8,
consultabile in www.penalecontemporaneo.it; anche Riccardo IMPERIALI - Rosario
IMPERIALI, Il decreto femminicidio è legge, senza il 231, in www.aodv231.it (data di
pubblicazione 18/10/2013), affermano come «il testo finale approvato in via definitiva dal
Senato e pubblicato sulla gazzetta ufficiale non reca più alcuna traccia di quella originaria
norma che è pertanto decaduta. Eppure la breve vigenza di questa disposizione (dal 16
agosto al 16 ottobre, giorno successivo alla data di pubblicazione della legge di Conversione
in Gazzetta) ha acceso l'attenzione e il dibattito sulla contiguità tra queste due norme che
tanto incidono sui processi di conformità legale delle aziende. Continuità ribadita da due
rilevanti atti internazionali: la proposta di Regolamento UE sulla protezione dei dati
personali e la revisione delle linee guida OCSE in questo ambito». Ancora gli stessi due
Autori sostengono criticamente come non vi sia stato alcun dibattito parlamentare
relativamente all'abrogazione delle modifiche incidenti sul d,lgs. 231/2001 del d.l. in esame:
«il testo del decreto legge è stato oggetto di discussione solo presso le Commissioni riunite I
e II della Camera in sede referente ed il dibattito si è focalizzato unicamente sulla disciplina
del femminicidio. Il comma 2 dell'articolo 9, che nel frattempo aveva registrato una ferma
posizione sfavorevole della Confederazione degli industriali, registrava alcuni emendamenti
bipartisan che ne chiedevano l'abrogazione. Stando ai resoconti stenografici dei lavori in
Commissione, su questi emendamenti poi approvati, non vi è stata alcuna discussione da
parte dei componenti né si è registrata alcuna posizione ufficiale da parte del Governo. Tant'è
che il testo approvato dall'aula della Camera e passato al Senato per la seconda lettura, già
non conteneva più il comma 2 dell'articolo 9. Di conseguenza, la solerte approvazione da
parte del Senato ha riguardato il testo già emendato dalla Camera, privo della disposizione su
privacy e 231».
732
Così le ha definite più volte l'Avv. V. FREDIANI, fondatrice del network
http://www.consulentelegaleinformatico.it/. Concorde Riccardo IMPERIALI - Rosario
IMPERIALI, Il decreto femminicidio è legge, senza il 231, op.cit.: «La previsione
dell'inserimento dei delitti privacy nei reati presupposto di responsabilità 231 avrebbe
costituito una novità normativa di grande momento. Né è un riflesso la rilevanza che ne è
stata data sui media specializzati e l'immediato fiorire di iniziative di formazione ed
aggiornamento su queste novità. Il passaggio dell'attuazione delle prescrizioni del codice
privacy da un approccio prevalentemente formalistico ad uno di governo e presidio effettivi
non era più rimesso ad una mera analisi interpretativa bensì veniva sancito in una chiara
norma di legge. L'assetto ‘privacy’ fatto di regole, ruoli soggettivi, mansioni e istruzioni,
adempimenti e procedure acquisiva una rinnovata legittimazione di modello di governance,
grazie al suo recepimento nella costruzione giuridica del decreto 231».
352
delitti, quelli relativi alla privacy, appartenenti alla categoria dei reati
“eventualmente informatici”.
Il reato di cui all'art. 640-ter, comma 3 c.p. riguarda la frode
informatica, cioè l'alterazione del funzionamento di un sistema informatico o
telematico o l'intervento su dati, informazioni o programmi contenuti in un
sistema informatico o telematico, aggravata dal mezzo di sostituzione
dell'identità digitale in danno di uno o più soggetti. Si tratta quindi di
un'aggravante speciale inserita dal d.l. 95/2013: il legislatore ha ancorato
l'aggravante esplicitamente al furto e all'indebito utilizzo dell'altrui identità
digitale, purché commessi in danno di uno o più soggetti.
L'identità digitale, la cui nozione non è fornita dalla norma, è comunemente
intesa come l'insieme delle informazioni e delle risorse concesse da un sistema
informatico ad un particolare utilizzatore di quest'ultimo sotto un processo di
identificazione che consiste (per come definito dall'art. 1, lett. u-ter del d.lgs.
82/2005), nella validazione dell'insieme di dati attribuiti in modo esclusivo ed
univoco ad un soggetto, che ne consentono l'individuazione nei sistemi
informativi, effettuata attraverso opportune tecnologie anche al fine di
garantire la sicurezza dell'accesso733. Non viene definito dal terzo comma
dell'art. 640 ter nemmeno cosa si intenda per “furto di identità digitale”. Si
esclude che si faccia riferimento alla fattispecie classica di furto di cui all'art.
624 c.p., dato che l'identità in quanto tale, non è cosa corporale che può
costringere oggetto di sottrazione o impossessamento, sembra piuttosto potersi
733
In parole molto povere l'identità digitale si identifica con le credenziali per l'accesso a un
sito web. Per una rassegna delle prospettive de iure condito e de iure condendo sul punto si
segnala BARTOLI, La frode informatica tra “modellistica”, diritto vigente, diritto vivente e
prospettive di riforma, in Dir. Inf., n. 3, 2011, p. 383; AD. CORTESI, E-government ed
agenda digitale, in M. MEGALE (a cura di), ITC e diritto nell'era della società
dell'informazione, Giappichelli, 2012, p. 163 ricorda, in relazione ai provvedimenti del
Governo Monti legati all'informatica e all'Agenda Digitale (oggetto di attenzione anche
dell'attuale Governo Renzi) che «è prevista la digitalizzazione dei dati anagrafici e della
residenza dei cittadini, il censimento continuo della popolazione e delle strade, il domicilio
digitale del cittadino (facoltativo), la diffusione degli indirizzi di posta elettronica certificata
di imprese e professionisti».
353
fare riferimento alla definizione contenuta nell'art. 30 bis d.lgs. 141/2010734,
in base al quale per furto d'identità s'intende a) “l'impersonificazione totale” e
cioè l'occultamento totale della propria identità mediante l'utilizzo indebito di
dati relativi all'identità e al reddito di un altro soggetto (che può riguardare
l'utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto
deceduto); b) “l'impersonificazione parziale” e cioè l'occultamento parziale
della propria identità mediante l'impiego, in forma combinata, di dati relativi
alla propria persona e l'utilizzo indebito di dati relativi ad un altro soggetto,
nell'ambito di quelli di cui alla lettera a.
Scopo dell'intervento normativo, ormai venuto meno, era, dunque, quello di
implementare la tutela dell'identità digitale, al fine di aumentare la fiducia dei
cittadini nell'utilizzazione dei servizi online e porre così un argine al fenomeno
delle frodi realizzate, soprattutto nel settore del credito al consumo, mediante
il furto di identità, che la giurisprudenza di legittimità735 ha affermato integrare
il reato previsto dall’art. 640-ter c.p. e non quello di cui all’art. 615-ter c.p.
La seconda fattispecie di reato che era stata aggiunta dal d.l. 95/2013
all'art. 24 bis d.lgs. 231/2001 è quella di cui all'art. 55, comma 9 del d.lgs.
231/2007. Tale norma disciplina la fattispecie di chi, al fine di trarre profitto
per sé o per altri, indebitamente utilizza736, non essendone titolare, carte di
credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al
734
Peraltro, quindi, si noti come la definizione in esame è sia stata calibrata sulle esigenze
della normativa in materia di credito al consumo contenuta nel d.lgs. 141/2010, il cui citato
art. 30 bis espressamente precisa come la stessa sia stata resa ai fini del suddetto decreto.
Tale circostanza potrebbe suscitare qualche dubbio sulla sua esportabilità, infatti, qualora
effettivamente dovesse farsi coincidere il furto d'identità con l'impersonificazione, non è
chiaro quale sarebbe il reale ambito applicativo dell'altra condotta presa in considerazione
dall'art. 640 ter comma 3, ovvero quella di indebito utilizzo dell'identità digitale, dato che
anche colui che faccia uso di un'identità per fini diversi da quelli per cui era stato
apparentemente autorizzato impersonifica un altro soggetto.
735
Cass. Pen., 11 marzo 2011, n. 9891.
736
La nozione di utilizzo indebito ricomprende anche il caso in cui chi detiene una carta di
pagamento o una carta analoga con il consenso del titolare, utilizzandola però in modo
difforme dall'accordo convenuto con il titolare, accordo che segna quindi i limiti di liceità
dell'utilizzo.
354
prelievo di denaro contante, all'acquisto di beni o alla prestazione di servizi e
di chi falsifica o altera carte di credito o di pagamento o qualsiasi altro
documento analogo che abiliti al prelievo di denaro contante o all'acquisto di
beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte
o documenti di provenienza illecita o comunque falsificati o alterati, nonché
ordini di pagamento prodotti con essi. Come si vede, la condotta ha natura
plurioffensiva e la dimensione lesiva trascende il mero patrimonio individuale
per estendersi, in modo più o meno diretto, a valori riconducibili all'ambito
dell'ordine pubblico, economico e della fede pubblica. Tale delitto, infatti,
tutela l'interesse pubblico a che il sistema elettronico di pagamento venga
usato in maniera corretta a garanzia della fede pubblica e a prevenzione del
riciclaggio. Esso si perfeziona tutte le volte in cui abbia effettivamente luogo
l'utilizzo di detti mezzi di pagamento, indipendentemente dal conseguimento o
meno del profitto (anche il semplice possesso di carte clonate a prescindere dal
loro utilizzo integra la fattispecie di reato). Infine, quanto al concorso con altri
reati, la giurisprudenza ha chiarito che può sussistere il concorso tra il reato in
esame e i reati di: furto aggravato (poiché la condotta di utilizzo della tessera
bancomat è ulteriore rispetto a quella dell'impossessamento), truffa (che non è
assorbito dall'art. in esame se la condotta non si esaurisca nel mero utilizzo del
documento, ma vi sia il quid pluris dell'“artifizio” per carpire ed utilizzare
invito domino il codice alfanumerico), ricettazione (che si configura come
reato presupposto e quindi precedente a quello di cui all'art. 55 comma 9 d.lgs.
231/2007) e il reato di rapina. Non si configura concorso, invece, nel caso di
utilizzo di carte falsificate per l'effettuazione di indebiti prelievi di contanti
attraverso i servizi di cassa continua delle banche, in questo caso infatti, sarà
configurabile il solo reato di frode informativa di cui all'art. 640 ter c.p. e non
anche quello di cui all'art. 55 comma 9 d.lgs. 231/2007, in quanto l'elemento
specializzante, rappresentato dall'utilizzazione fraudolenta del sistema
355
informatica di cui all'art. 640 ter c.p., costituisce presupposto assorbente
rispetto alla generica indebita utilizzazione della carta di credito737.
Infine, osserviamo le disposizioni che riguardano i reati (delitti e non
contravvenzioni) di cui alla parte III, titolo III, capo II del Codice Privacy.
Questi reati, in particolare, avrebbero potuto avere un grande impatto pratico
se inseriti all'interno della “compliance 231”, perché trattasi di violazioni
potenzialmente in grado di interessare l'intera platea delle società commerciali
e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.
Più di una voce si è levata a favore di questa introduzione738, ma la
disposizione è venuta meno con la soppressione del comma 2 dell’art. 9 del
decreto legge n. 93/2013.
Paradossalmente, la rubrica dell'art. 24 bis d.lgs. 231/2001 continua a fare
riferimento al “trattamento illecito di dati”, a cui però il testo della norma non
fa (più) cenno739.
L'originaria proposta di inclusione dei “delitti privacy” nel d.lgs. 231/2001 «è
stata una chiara risposta alla politica riduzionista della portata del codice
privacy registratasi nel biennio 2012-2013»740, quest'ultima ha determinato
gradualmente uno svuotamento dei tradizionali obblighi privacy. Tale
“svuotamento” è confluito in alcuni interventi del legislatore, che hanno creato
737
Per approfondimenti circa il concorso tra i reati citati e l'art. 55 comma 9 d.lgs. 231/2007
Cfr D'AIUTO - LEVITA, I reati informatici, op.cit., pp- 38-40.
738
Professionisti del settore come L'Avv. V. FREDIANI, ma anche autorevoli voci quali il
Sostituto Procuratore della Repubblica F. CAJANI (pool reati informatici), il quale ha
sostenuto l'accusa nel processo Vivi Down vs. Google (conclusosi in Cassazione lo scorso
dicembre 2014 con l'assoluzione di Google, dopo una condanna in primo grado, Trib.
Milano, sez. IV, 12 aprile 2010, n. 1972, in Giur. Merito, n. 9, 2010, pp. 2219 ss.). Uno dei
capi di imputazione era proprio il trattamento illecito di dati di cui all'art. 167 Codice Privacy
che compare anche nella rubrica dell'art. 24 bis d.lgs. 231/2001, ma senza alcun seguito nel
testo di quest'ultima norma (come già si è avuto modo di osservare).
739
Si veda, in questo capitolo, il precedente § 3.1.4, circa le incongruenze ancora presenti
all'interno dell'art. 24 bis, tra cui figura, appunto, anche questa.
740
Così Riccardo IMPERIALI - Rosario IMPERIALI, Il decreto femminicidio è legge, senza
il 231, op.cit. p. 1.
356
una falsa percezione, ovvero una «pericolosa suggestione»741, della realtà
riguardante gli effettivi obblighi di compliance nelle aziende, soprattutto nelle
PMI. Essi sono:
1) l'abolizione, sotto il Governo Monti, dell'obbligo di redigere ed
aggiornare il Documento Programmatico per la Sicurezza (DPS)
prevista dal d.l. “Semplifica Italia” (d.l. 5/2012, art. 45, comma 1, lett.
c) e d), convertito con modificazioni dalla legge 35/2012). Tale
previsione non è mai entrata nella “compliance 231”, eppur alcune
virtuose aziende, avendo investito nell'implementazione di tale policy,
continuano ad aggiornarlo742. Il DPS avrebbe dovuto uniformare e
integrare il modello organizzativo, il fatto che la redazione del
documento programmatico non sia più obbligatoria (almeno per ciò che
riguarda strettamente la produzione di un documento), non esime
comunque le società dall'adottare delle misure di sicurezza: si rammenti
che attualmente le Linee Guida743 consigliano comunque agli enti
collettivi la redazione di un documento di audit sulla sicurezza, in
sostituzione del DPS; tale documento sarà certamente più snello e meno
formale dal punto di vista burocratico (ad esempio in relazione a
nomine o lettere di incarico), ma rappresenta in ogni caso la situazione
741
Ibidem.
Mi riferisco, per esempio, a Jungheinrich Italiana Srl, della quale ho potuto intervistare un
membro dell'OdV, C. CANALI, durante un convegno organizzato da ASSINFORM, in
collaborazione con il network dell'Avv. V. FREDIANI
(http://www.consulentelegaleinformatico.it/2014/03/12/ottimo-riscontro-e-partecipazione-alseminarioreati-informatici-e-governance-quale-filo-conduttore/).
Occorre evidenziare che, mentre alcune grandi imprese virtuose la disciplina dei dati
personali è giustamente considerata uno dei principali profili di compliance legale, tanto da
sviluppare modalità di integrazione e sinergia con il modello organizzativo, ben diversa è
l'atmosfera che si respira nel panorama delle piccole e medie imprese. La percezione diffusa
tra le PMI è quella di una sorta di riduzione del problema, da cui l'eliminazione del tema
dalla propria agenda dei lavori rispetto alle attività di compliance da compiere ovvero da
monitorare e aggiornare.
743
Ci si riferisce alle Linee Guida di Confindustria per la costruzione di modelli
organizzativi di gestione e controllo approvate il 7 marzo 2002 e aggiornate lo scorso anno
(marzo 2014). Il testo aggiornato con le modifiche si può visionare a questo indirizzo:
http://www.compliancenet.it/231-01-nuove-linee-guida-confindustria-31-luglio-2014.
742
357
tecnica adottata per la gestione delle misure minime necessarie a
garantire un livello di sicurezza adeguato744.
2) L'esclusione dell'applicabilità del Codice Privacy per i dati riferiti alle
persone giuridiche delle imprese contenuta nel “Decreto salva Italia”
(d.l. 201/2011, art. 40, comma 2, convertito con modificazioni dalla
legge 214/2011). L'esclusione dei “dati aziendali” dalla normativa
privacy è quindi in vigore dal 6 dicembre 2011745.
3) L'esclusione dell'applicabilità del Codice Privacy per quei dati
personali relativi a persone fisiche che agiscono nell'esercizio delle
attività di professionali di impresa, contenuta nel d.d.l. del Governo
Letta “Semplificazioni” del 19 giugno 2013746.
744
L'abolizione dell'obbligo della tenuta di un DPS aggiornato è stato subito criticata dal
Garante che ne ha enfatizzato il ruolo di strumento probatorio per l'azienda circa l'adozione
di quelle misure minime volte ad evitare il verificarsi di eventi dannosi. D'altro canto la
documentazione formale di quanto realizzato e quanto in programma per la sicurezza delle
informazioni costituisce uno dei capisaldi dei sistemi internazionali di certificazione del
settore. Mentre l'obbligo di adottare misure di sicurezza adeguate trova conferma sia nella
Direttiva 95/46, art. 17, comma 1, sia nella proposta di Regolamento europeo (art. 30), con la
novità che per il Regolamento quest'obbligo grava anche sul responsabile esterno, qualunque
siano gli eventuali accordi contrattuali con il titolare del trattamento. Pertanto, il
mantenimento della prassi aziendale dell'aggiornamento annuale di un documento di politica
della sicurezza, semmai alleggerito di talune peculiarità non necessarie già presenti nel
Disciplinare (si pensi all'attestazione nella relazione al bilancio), costituisce un
comportamento da confermare, anche a dimostrazione della diligenza aziendale.
745
Sia la direttiva 95/46 sia la proposta di Regolamento europeo sulla privacy non si
applicano alle informazioni che identificano aziende o enti. Questa estensione, che la
direttiva consente, originariamente era stata fatta propria solo dal Liechtenstein e
dall'Austria; mentre quest'ultimo paese, in seguito, ha modificato la propria normativa
escludendo dal proprio ambito i dati delle persone giuridiche. Ne deriva che la
semplificazione italiana non ha ripercussioni nei confronti del dettato comunitario e, anzi,
troverà conferma nella prospettiva del futuro Regolamento. Ciononostante, presumibilmente,
questa esclusione non produrrà un significativo impatto semplificatorio nella gestione delle
informazioni utilizzate dalle aziende. Infatti, l'informazione qualificata come “dato
personale” è normalmente in commistione con quella relativa ad aziende ed enti, rendendo
oltremodo difficile e diseconomico operare qualsiasi distinzione di trattamento tra le due
diverse tipologie. Di conseguenza è fondato ritenere che le aziende applicheranno il sistema
di protezione imposto dal codice all'intero patrimonio informativo da esse posseduto, almeno
in quei casi in cui la netta separazione tra “dati personali”ed informazioni “non personali”
risulti disagevole.
746
In particolare, dopo i numerosi interventi del Governo Monti (d.l. “Salva Italia”
201/2011; d.l. “Semplificazioni” 33/2012; d.l. “Sviluppo” 83/2012; d.lgs. 69/2012), che
hanno modificato l'impianto del Codice Privacy, il successivo Governo Letta è tornato sul
tema privacy con il d.d.l. “Misure di semplificazione degli adempimenti per i cittadini e le
358
Si evidenzia un chiaro differente livello di appropriatezza delle tre
soluzioni normative qui brevemente sintetizzate. Se si considera che la
normativa italiana sulla protezione dei dati personali trae la propria origine da
fonte comunitaria, è necessario che qualsiasi intervento del legislatore
nazionale sia preventivamente scrutinato in base al criterio di conformità al
dettato comunitario, avendo come riferimento, oggi, la direttiva 95/46 e,
prossimamente, il nuovo Regolamento Ue in corso di discussione ed
approvazione presso il Parlamento europeo. Secondo questa prospettiva, i tre
interventi normativi del legislatore italiano appena citati, registrano un diverso
livello di appropriatezza ossia di conformità al dettato comunitario. Mentre,
infatti, l'esclusione dei dati delle persone giuridiche dalla protezione accordata
dal Codice Privacy risulta in sintonia sia con la direttiva 95/46 sia con il futuro
Regolamento, non altrettanto può affermarsi per le altre due semplificazioni
(abolizione del DPS ed esclusione dei dati personali in ambito professionale).
Nonostante gli interventi normativi sopra esposti, in primo luogo, chi
scrive non si sente di affermare che la normativa privacy e quella 231 siano
totalmente estranee tra loro, al contrario, esse presentano diversi punti di
contatto. Per esempio, una testimonianza dell'affinità tra normativa privacy e
“compliance 231” si ritrova nel fatto che proprio i principi di adeguatezza e di
imprese di riordino normativo” del 19 giugno 2013. Quest'ultimo provvedimento al capo II,
dedicato alle misure di semplificazione per le imprese, all'art. 17, rubricato (con una scelta
opinabile) “Semplificazioni in materia di privacy” 1) modifica di nuovo l'ambito di
applicabilità del Codice Privacy, già limitato dai precedenti interventi di modifica normativa
ai soli dati delle sole persone fisiche identificate o identificabili, con esclusione dall'ambito
di tutela dei dati delle persone giuridiche, eccetto quelli relativi alle persone giuridiche
contraenti o utenti di beni e servizi di comunicazione elettronica 2) introduce una procedura
semplificata nell'adeguamento periodico già previsto dell'art. 36 del Codice Privacy con
riferimento al Disciplinare Tecnico in materia di misure minime di sicurezza, Allegato B al
Codice Privacy; 3) introduce un nuovo comma 1-bis all'art. 121 che specifica che le norme
del Titolo X del Codice Privacy (artt. da 121 a 132-bis): “si applicano anche al trattamento
dei dati delle persone giuridiche, quali contraenti o utenti di fornitura di servizi di
comunicazione elettronica”.
359
inversione dell'onere della prova - citati come emblematici della peculiare
costruzione giuridica del d.lgs. 231/2001 - sono presenti e sono altrettanto
caratterizzanti il Codice Privacy. Infatti, l'articolo 31 del Codice Privacy, che
regola gli obblighi di sicurezza, impone il rispetto del criterio di idoneità
nell'adozione delle misure, in assenza del quale l'azienda è tenuta a risarcire
tutti i danni derivanti da una sicurezza carente. E, in parallelo, proprio in
merito alla disciplina degli eventuali danni causati dal trattamento dei dati
personali, l'articolo 15 del medesimo Codice costruisce l'azione di
risarcimento sull'inversione dell'onere della prova, ossia sull'eventuale
capacità dell'azienda di dimostrare “di avere adottato tutte le misure idonee a
evitare il danno”, tramite il richiamo all'articolo 2050 del codice civile.
In secondo luogo preme affermare che, nonostante lo “svuotamento”
dei tradizionali obblighi privacy come sopra evidenziato, in realtà, quando le
aziende
utilizzano
informazioni
suscettibili
di
identificare,
anche
indirettamente, un individuo (cd. dati personali), devono continuare ad
osservare precisi obblighi. Le aziende, sia quelle di grandi dimensioni che le
PMI, dovranno continuare a dotarsi di una struttura organizzativa per la
gestione di tali dati (responsabili, incaricati, amministratori di sistema),
saranno tenute a regolare appositamente i rapporti con enti terzi che utilizzano
tali dati per loro conto nello svolgimento di attività strumentali (con clausole
contrattuali e definizione di ruoli); dovranno continuare ad adottare misure
minime di sicurezza perseguendo livelli di adeguatezza della sicurezza delle
informazioni (disciplinare tecnico ed art. 31); proseguiranno a rispettare gli
adempimenti nei riguardi dei soggetti interessati, come il rilascio
dell'informativa (art. 13) o la raccolta del consenso per l’uso dei dati personali
(artt. 23 e 26) oppure per l'esercizio dei diritti da parte di costoro (artt. 7-10);
continueranno, infine, ad essere soggette alle prescrizioni del Garante.
Questo apparato di compliance manterrà il suo forte impatto su importanti
funzioni e processi aziendali, come quelli delle risorse umane, dei servizi
informativi, del marketing, o della sicurezza sul lavoro. Così come, il
360
medesimo apparato di “conformità privacy” continuerà a svolgere quella
fondamentale funzione di bilanciamento nei confronti di altri sistemi di
compliance aziendale, in primis proprio quelli sulla responsabilità ex d.lgs.
231/2001 (si pensi ai flussi informativi verso l'organismo di vigilanza) oppure
sulla sicurezza sul lavoro, sull'antiriciclaggio o sulla tutela ambientale, nonché
sui profili di prevenzione (ad es. i controlli sui lavoratori) e repressione (si
pensi alle sanzioni disciplinari) su cui tutti questi sistemi si fondano.
In conclusione, si osserva che il processo di semplificazione che ha
riguardato l'ambito privacy ha avuto inizio a partire dal 2010 e non sempre con
esiti favorevoli sul piano della concreta maggiore facilitazione. Gli esoneri
esaminati dal dettato normativo relativo agli obblighi privacy non appaiono
plausibili, né in base al criterio dell'effettiva semplificazione né secondo la
congruità con la piattaforma comunitaria. Queste modifiche, pertanto,
rischiano di creare uno stato di generale confusione soprattutto in quel mondo
imprenditoriale che dovrebbe esserne il primo beneficiario. In ogni caso, va
certamente contrastata l'illusione secondo cui a seguito di questi interventi
legislativi, le aziende non sarebbero più tenute, di fatto, a conformarsi al
Codice Privacy. La previsione dell'inclusione dei delitti privacy fra i reati
presupposto del d.lgs. 231/2001 contenuta originariamente nel decreto
93/2013 ha il merito, comunque, a dispetto della mancata conversione in legge
di tale disposizione, di aver attirato l'attenzione pubblica sulle contiguità già
esistenti tra i due corpi normativi. Cosa che non è riuscita in precedenza, né
all'inserimento dei crimini informatici nel catalogo dei reati 231, né all'obbligo
di tenuta del DPS aggiornato, durante il periodo di vigenza di questa
prescrizione. La gestione dei dati personali da parte delle aziende deve
necessariamente tradursi in un sistema di governance che si integra con quelli
già operativi: lo impone una lettura ragionata del codice privacy, lo
ribadiscono incontrovertibilmente la proposta di Regolamento Ue sulla
privacy e le Linee guida OCSE, aggiornate nel luglio del 2013.
361
§ 2.4 LE DISPOSIZIONI INGIUSTIFICATAMENTE ASSENTI NELL'ART.
24 BIS
Un riferimento all'art 640 ter c.p. rubricato “frode informatica”
747
, è
contenuto nel d.lgs. 231/2001, ma solo in relazione ad una delle forme
aggravate (ovvero quando la frode informatica è commessa in danno dello
Stato o di altro ente pubblico) e all'interno dell'art. 24
748
e non già dell'art. 24
bis dedicato ai delitti informatici in senso stretto.
Circa l'elemento oggettivo, la norma punisce chiunque, alterando in
qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o
programmi contenuti in un sistema informatico o telematico o ad esso
pertinenti, procuri a sé o ad altri un ingiusto profitto con altrui danno.
La giurisprudenza ritiene realizzarsi della condotta di frode informatica
nei casi in cui, ad esempio, un soggetto con carte falsificate e indebita
acquisizione dei relativi codici acceda abusivamente nei sistemi informatici
bancari, alterandone i dati contabili, con ordini abusivi di operazioni bancarie
L’articolo così recita: “Chiunque, alterando in qualsiasi modo il funzionamento di un
sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati,
informazioni o programmi contenuti in un sistema informatico o telematico o ad esso
pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la
reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se
ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640,
ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. La pena è
della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è
commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle circostanze
di cui al secondo e terzo comma o un’altra circostanza aggravante”.
748
Tale norma è presente fin dall'emanazione del d.lgs. 231/2001 (non è stata introdotta dalla
legge 48/2008 come l'art. 24 bis in applicazione della Convenzione di Budapest) ed è
rubricata “indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico
o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di
un altro ente pubblico”. L'art. 24 d.lgs. 231/2001, in relazione alla commissione del delitto di
cui all’articolo 640 ter c.p., nei soli di casi di danni dello Stato o di altro ente pubblico,
prevede che alla società venga comminata la sanzione pecuniaria fino a cinquecento quote,
ovvero da 200 a 600 se l’ente ha conseguito un profitto di rilevante entità o è derivato un
danno di particolare gravità, nonché, alla ricorrenza delle condizioni di cui agli articoli 9, 12
e 13 d.lgs. 231/2001 o le sanzioni interdittive.
747
362
di trasferimento fondi (ad esempio un prelievo di contante attraverso
bancomat), ovvero di chi, ottenute le credenziali di accesso di un soggetto
senza suo consenso, le impieghi per utilizzare sistemi informatici bancari per
operare sui relativi dati contabili e dare disposizioni procurandosi un ingiusto
profitto con pari danno per il titolare del conto749. A contrario è stata esclusa la
frode informatica nell'ipotesi di un soggetto che abbia ricaricato cellulare
utilizzando indebitamente codici relativi a carte di credito telefoniche
fraudolentemente sottratte da altri a chi le deteneva legittimamente. In questa
ipotesi la Cassazione750, premesso che la scheda prepagata sia considerata
documento analogo alle carte di credito o di pagamento, che abilita alla
prestazione di servizi telefonici, ha ritenuto di non ravvisare il reato in assenza
di una introduzione abusiva nel sistema informatico del gestore telefonico e di
alterazione del funzionamento del medesimo.
La fattispecie in esame mira a tutelare non soltanto il patrimonio della
persona offesa, ma anche il regolare funzionamento dei sistemi informatici e la
riservatezza dei dati, spesso sensibili, così come la stessa certezza e speditezza
del traffico giuridico fondata sui dati gestiti dai diversi sistemi informatici751.
749
Si segnala Cass. pen., 15 aprile 2011, n. 17748, Fica e altro.
Cass. Pen., 10 luglio 2003, n. 32440, Larnè.
751
Come puntualizzato da M. MARGIOCCO, Frode informatica, in G. FINOCCHIARO - F.
DELFINI, Diritto dell’informatica, Utet, 2014, pp. 1107 e segg. Il sistema informatico
acquisisce e memorizza dati (ovverosia rappresentazioni elementari di un fatto) e mediante
un programma procede ad elaborarli e organizzarli in dati più vasti, ossia informazioni. La
condotta di alterazione del sistema consiste, allora, sostanzialmente in una modifica del
regolare ed ordinario funzionamento del sistema medesimo rispetto a quello preordinato da
chi lo abbia predisposto per ottenere un ingiusto profitto con altrui danno.
Ricorre il reato in esame nel caso in cui, ad esempio, tramite un virus, si riesca ad incidere
sull'operatività del software. Un esempio tipico è quello del caso in cui tramite un troian
horse si riesce a modificare l'operatività della macchina colpita in modo che l'utente del
computer, senza saperlo, venga re-indirizzato a un sito diverso rispetto a quelli di citato nel
browser. Un'altra ipotesi è quella invece riferibile ai dialer, ovverosia l'installazione
inconsapevole di programmi che si connettono al modem e lo ricollegano ad operazioni che
comportano addebiti a carico dell'utente per servizi o prestazioni non volute. L'altra modalità
possibile di realizzazione del reato consiste invece nell'ingresso all'interno del sistema, senza
alterazione delle sue funzionalità, ma con un accesso senza diritto a dati informazioni o
programmi contenuti nel sistema stesso, sempre con il fine di conseguire un ingiusto profitto
con correlativo altrui danno. Il phishing o il vishing (vocal phishing che sfrutta la tecnologia
Voip - voice over IP - ovvero una conversazione telefonica che sfrutta una connessione di
750
363
Questa indole poliedrica del reato, collocato comunque tra i delitti contro
patrimonio (libro II, titolo XIII, capo II c.p.), giustifica la sua definizione
quale autonoma ipotesi delittuosa752. Appare però necessario adattare i
tradizionali aspetti legati ai reati di frode e truffa (per quest'ultimo
l'adattamento risulta certamente più complicato) alla particolarità dell'oggetto
della condotta fraudolenta. In primo luogo nella condotta in esame mancano
gli elementi cardine del reato di truffa ovvero “gli artifizi o raggiri”, oltre che
“l'induzione in errore” che porta il soggetto passivo del reato a collaborare suo
malgrado con l'agente, disponendo del proprio patrimonio in modo da arrecare
vantaggio al reo o a terzi. 753
Come per la truffa ex art. 640, anche per la frode informatica il dolo è
generico. Per il momento consumativo del reato è fondamentale la
diminuzione del patrimonio, ovvero che il soggetto subisca il danno
patrimoniale e non nel momento in cui la condotta manipolativa viene posta in
essere, in caso contrario si configurerebbe un reato di pericolo e non di danno
(di conseguenza anche il locus commissi delicti è quello in cui si ottiene la
disponibilità di un patrimonio illecitamente acquisito, non quello della
condotta è stata posta in essere).
rete) sono alcune modalità di realizzazione del reato di frode informatica. Il primo viene
usato per carpire username e password al fine di utilizzarli per accedere al conto corrente
online dell'utente (di solito tramite posta elettronica, inviando e-mail del tutto simili a quelli
inviate da istituti di credito, nei quali si invita l'utente a inserire le proprie credenziali), il
secondo consiste nel simulare una chiamata come proveniente da un call center autorizzato,
inducendo l'utente a comunicare dati che possono essere fraudolentemente autorizzati per
ottenere vantaggi economici.
752
Contra, L. AUDIA, I crimini informatici, in M. MEGALE, ITC e diritto nella società
dell'informazione, 2012, p. 206 che scrive «cerchiamo di capire perché una norma già
articolata non fosse adeguata a regolamentare il reato di frode informatica e perché il
legislatore abbia scelto di introdurre una nuova norma anziché ampliare, magari con
l'introduzione di un nuovo comma, un articolo preesistente». L'Autrice però sottolinea anche
che «proprio il fatto che l'induzione in errore non può che essere riferita alla psiche umana,
ha portato il legislatore a non ritenere applicabile l'art. 640 c.p. al reato di frode informatica
non potendosi configurare un'induzione in errore riferita ad un elaboratore».
753
Per queste osservazioni si veda in giurisprudenza ex multis, Cass. pen., 11 novembre
2009, Gabbriellini e Cass. pen., sez. VI, 4 ottobre 1999, P.M. e De vecchi.
364
Anche la fattispecie di cui all'art. 495 bis c.p. è stata esclusa dall'art. 24
bis d.lgs. 231/2001, come quella appena vista di frode informatica non
aggravata ovvero in danno a privati, apparentemente senza un motivo logico.
Anch'essa costituisce frutto dell'innovazione di cui alla legge 48/2008 di
ratifica della Convenzione di Budapest. La norma recita: “Chiunque dichiara
o attesta falsamente al soggetto che presta servizi di certificazione delle firme
elettroniche l'identità o lo stato o altre qualità della propria o dell'altrui
persona è punito con la reclusione fino ad un anno”. Si tratta quindi della
condotta consistente nel rilascio di false dichiarazioni, sia attraverso
l'attestazione di qualità non corrispondenti al vero (cd. falso ideologico), sia
producendo tutto documenti contraffatti (cd. falso materiale), al soggetto che
presta servizio di certificazione della firma elettronica.
La collocazione sistematica della norma rende evidente la sua natura speciale
rispetto alla disciplina delle false attestazioni o dichiarazioni ad un pubblico
ufficiale sull'identità o su qualità personali proprie o di altri (art. 495 c.p.),
entrambe sono collocate nel libro II, titolo VII, capo IV titolato “delle falsità
personali”. La norma vuole dunque tutelare l'uso della firma digitale, che a
seconda del fatto che sia debole o forte, attribuisce rilevanza e valore
probatorio al documento sottoscritto elettronicamente. Tuttavia, è necessario
muovere una critica al legislatore che non ha operato alcuna distinzione in
merito al certificatore754: si prevede un trattamento identico per le
dichiarazioni rivolte a qualsiasi tipo di certificatore, sia ch eegli sia un
certificatore “comune” (che rilascia firme deboli), sia che sia un certificatore
“qualificato” o “accreditato” (che rilasci firme qualificate o digitali, cd. firma
forte). Tuttavia, se si tiene conto del valore probatorio che viene attribuito al
documento informatico sottoscritto con la firma qualificata o digitale,
«probabilmente nella formulazione della nuova norma si sarebbe dovuto tener
754
Tra l'altro è utile ricordare che la responsabilità nell'identificazione certa del richiedente è
affidata dalla legge proprio anche al certificatore, il quale, secondo l'art. 32 del CAD.
365
conto della diversa portata offensiva che si verifica quando il reato coinvolge
un certificatore qualificato o accreditato»755.
La giurisprudenza di legittimità (Cass. sez. pen. V, 14 marzo 2011, n. 10200)
ha ritenuto non applicabile il reato di cui all'art. 495 bis c.p. in favore
dell'applicazione dell'art. 483 c.p. in base al quale è punito con la reclusione
fino a due anni il privato che attesta falsamente ad un pubblico ufficiale, in un
atto pubblico, fatti dei quali l'atto è destinato a provare la verità. La Corte ha
ritenuto che il certificatore non possa essere considerato un pubblico ufficiale
(a meno che non si tratti di una pubblica amministrazione certificatrice)756.
§ 2.5 ALTRE FATTISPECIE RILEVANTI PRESENTI NEL D.LGS.
231/2001: I REATI “EVENTUALMENTE INFORMATICI”
All'interno del d.lgs. 231/2001 trovano posto anche alcuni reati cd.
“eventualmente informatici”, che non fanno parte della categoria dei reati
informatici in senso stretto contemplata dall'art. 24 bis e oggetto privilegiato
del presente studio. È così in un altra norma del decreto in esame che trovano
spazio i delitti di pornografia757 (art. 25 quinquies d.lgs. 231/2001, rubricato
755
Così L. AUDIA, I crimini informatici, op.cit., p. 191.
Infatti, «se il certificatore fosse qualificato alla stregua del pubblico ufficiale, la pena
prevista dall'art. 495 bis c.p. sarebbe notevolmente ridotta rispetto a quella prevista dall'art.
495 c.p. che stabilisce la pena della reclusione fino ad un massimo di sei anni per chi
“dichiara o attesta falsamente al pubblico ufficiale, l'identità, lo stato o altre qualità della
propria o altrui persona” e della pena di cui all'art. 496 c.p. che prevede la reclusione fino a
cinque anni per chi rende false dichiarazioni sull'identità o su qualità proprie o di altri ad un
pubblico ufficiale o a una persona incaricata di pubblico servizio». Ibidem.
757
Per “materiale pornografico” si intende, in aderenza alla corrispondente nozione fornita
dall'art. 1 della decisione quadro del Consiglio europeo 2004/68/Gai, il materiale che ritrae o
rappresenta visivamente un minore degli anni diciotto implicato o coinvolto in una condotta
sessualmente esplicita, quale può essere anche la semplice esibizione lasciva dei genitali o
della regione pubica. La giurisprudenza di merito si è espressa a riguardo, ritenendo che
costituisca materiale pedopornografico ogni rappresentazione finalizzata ad eccitare la
sessualità individuale, nel senso che la natura pornografica della rappresentazione in pose
che lasciano scoperti integralmente o parzialmente gli organi genitali, al fine di distinguerla
dal materiale di natura giornalistica o pubblicitaria, deve essere individuata in base
all'accertamento della destinazione della rappresentazione ad eccitare la sessualità altrui e
dalla idoneità a tale scopo, con la conseguenza che assume rilevanza la natura erotica delle
756
366
“delitti contro la personalità individuale”) e i delitti in materia di violazione
del diritto d'autore (art. 25 nonies 758d.lgs. 231/2001)759.
pose e dei movimenti del minore (Cfr. ex multis, Trib. Pisa, 28 ottobre 2009, n. 1199, in Riv.
Pen., n. 10, 2010, p. 973).
758
Per la precisione, il legislatore ha errato la numerazione latina: nel testo della norma si
legge in realtà art. “25 novies”.
759
C. BENELLI, Art. 24 bis - I reati informatici, in AA.VV., Opera Omnia 231, Network
231, 2014, Vol. 1, pp. 247, 248, la quale senza operare una divisione tra delitti informatici in
senso stretto e non, sottolinea, dopo aver elencato le fattispecie presenti all'art. 24 bis che
«non tutti i reati informatici, di cui al codice penale ed alle Leggi speciali, sono reati
presupposto, e non tutti i reati informatici costituenti reati presupposto sono disciplinati
all'art. 24 bis, dovendosi richiamare almeno la frode informatica commessa in danno dello
Stato (art. 24), l'assistenza ai gruppi terroristici apprestata fornendo strumenti di
comunicazione (art. 25 quater) e la detenzione, distribuzione e cessione di materiale
pedopornografico (art. 25 quinquies, comma , lettera c)». A giudizio di chi scrive, l'Autrice
menziona discutibilmente l'art. 25 quater d.lgs. 231/2001tra i reati informatici (rubricato
“delitti con finalità di terrorismo o di eversione dell'ordine democratico”, che non presenta
affatto un chiaro riferimento all' “oggetto informatico o telematico” nel testo. Certo, quasi
ogni reato è suscettibile di essere commesso tramite il mezzo informatico, ma se questo
bastasse per essere annoverato tra i reati informatici, quasi la totalità dei delitti del codice
penale (si pensi ai reati societari), fatta eccezione per i reati di sangue, sarebbero da ritenere
delitti informatici. Tale tesi non convince. Condivisibile, invece la già menzionata
distinzione di D'AIUTO - LEVITA, I reati informatici, op.cit., p. 3 e p. 45, per i quali i reati
informatici in senso stretto hanno ad oggetto sistemi informatici «variamente intesi», mentre
quelli solo eventualmente tali si caratterizzano perché «il mezzo informatico si atteggia
esclusivamente a strumento di perpetrazione del reato»; tuttavia chi scrive sostiene che in
questa ultima categoria non rientrerebbe indistintamente qualsiasi reato a mezzo informatico,
bensì solo quelli in cui tale mezzo è una componente esponenzialmente rafforzativa degli
effetti potenziali della condotta materiale. D'AIUTO - LEVITA, op.cit, pp. 45-100, fanno
rientrare nei reati eventualmente informatici: la protezione del diritto d'autore, alcuni reati a
tutela dell'onore, parte dei reati relativi alla molestia e al disturbo delle persone, nonché l'art.
612 bis c.p. (che quindi diventa cyberstalking), il peculato, i delitti di pornografia, l'illecito
trattamento dei dati personali, i reati relativi a giochi e scommesse. Naturalmente non tutti
questi reati sono di interesse ai fini della responsabilità ex crimine degli enti ex d.lgs.
231/2001, figurando attualmente nel decreto, tra essi, soltanto i delitti di pornografia e quelli
relativi alla violazione dei diritti d'autore.
l'Autrice citata non menziona, invece, i reati di cui al 25 nonies d.lgs. 231/2001
unanimemente considerati appartenenti ai delitti informatici, perlomeno tra quelli
“eventualmente informatici”. Concorde in dottrina ex multis, oltre a D'AIUTO - LEVITA,
op.cit., pp. 45-100, anche P. PREVITALI, Modelli organizzativi e compliance aziendale,
op.cit., pp. 15, 16, nonché A.D. CORTESI, Hacker e pirateria informatica, in M. MEGALE
(a cura di), ITC e diritto nella società dell'informazione, Giappichelli, 2012, p. 235 e 235, il
quale divide la pirateria informatica in senso stretto, coincidente con i reati in violazione del
diritto d'autore, dalla pirateria informatica in senso lato, affermando come «pirata
informatico in senso in senso lato è l'hacker. In senso stretto è invece pirata informatico chi
viola, specie se lo fa su larga scala e per trarre un profitto personale, i limiti di licenza d'uso
del software, di contenuti multimediali, di e-book, ecc», l'Autore ha inoltre cura di precisare
che il concetto di pirateria informatica in senso lato non è di per se stesso negativo (come
ancora diffusamente si crede) affermando come «(...) gli hackers che si pongono degli
obiettivi pro-sociali, condivisibili o meno che siano (...) per distinguersi dai pirati
367
Cominciamo con l'analizzare l'art. 25 quinquies d.lgs. 231/2001. Questo
articolo è stato introdotto dall'art. 5 della legge 11 agosto 2003, n. 228
(“Misure contro la tratta di persone”) e al primo comma responsabilizza gli
enti, qualora un apicale o subordinato, nell'esercizio delle proprie funzioni
lavorative, nell'interesse o a vantaggio dell'ente, commetta i crimini di cui agli
articoli:
a) 600, 601 e 602 c.p., per i quali si prevede una sanzione pecuniaria
da quattrocento alle mille quote;
b) 600 bis, primo comma, 600 ter, primo e secondo comma “anche se
relativi al materiale pornografico di cui all'articolo 600 quater.1, e
600 quinquies”, per tali reati la sanzione va dalle trecento alle
ottocento quote;
c) 600 bis, secondo comma, 600 ter, terzo e quarto comma, e 600
quater, “anche se relativi al materiale pornografico di cui all'articolo
600 quater.1”, nonché per il delitto di cui all'articolo 609 undecies
c.p., per queste fattispecie è prevista la sanzione pecuniaria da
duecento a settecento quote760.
informatici, che agiscono per scopo di lucro o comunque in violazione dell'etica hacker,
preferiscono definirli “crackers” o “black hat hackers”, contrapposti ai “white hat hackers”»
(così ID. op.cit, p. 227). Spesso i crackers passano dalla parte degli hackers, dopo essere
stati identificati dalla polizia in seguito a crimini informatici: la libertà in cambio di un
“collaborativo cambio di cappello”, le loro conoscenze informatiche vengono così utilizzate
per sanare falle nella sicurezza informatica nazionale o di avvedute corporation (si veda, per
un esempio celebre, K.D. MITNICK, Il fantasma nella rete. La vera storia dell'hacker più
ricercato del mondo, Feltrinelli, 2014). Accezione senz'altro negativa avrà, quindi, soltanto
la pirateria informatica in senso stretto.
Infine, lo stesso testo legislativo delle norme a cui l'art. 25 nonies rinvia (art. 171 primo
comma lettera a-bis e terzo comma, art. 171 bis, art. 171 ter, 171 septies, art. 171 octies della
l. 633/1942 è esplicativo e porta alla classificazione delle fattispecie contemplate nella
categoria dei reati cd. eventualmente informatici: «chiunque, senza averne diritto, a qualsiasi
scopo e in qualsiasi forma (...) mette a disposizione del pubblico, immettendola in un sistema
di reti telematiche, mediante connessioni di qualsiasi genere, un'opera di ingegno protetta o
parte di essa» (così art. 171 l. 633/1941 comma primo a-bis; similmente art. 171 ter comma
terzo a-bis).
760
Al primo comma dell'art. 25 quinquies, quindi si fa riferimento, alla lettera a) ai reati di
cui al capo III, “dei delitti contro la libertà individuale”, sezione I, “dei delitti contro la
personalità individuale” . In particolare:
368
Al secondo comma si prevede che nei casi di condanna per uno dei delitti
indicati nel comma 1, lettere a) e b), si applicano le sanzioni interdittive
previste dall' articolo 9, comma 2, del d.lgs. 231/2001, per una durata non
inferiore ad un anno. Infine al terzo ed ultimo comma, l'art. 25 quinquies
stabilisce che se l'ente o una sua unità organizzativa viene stabilmente
utilizzato allo scopo unico o prevalente di consentire o agevolare la
commissione dei reati indicati nel comma 1 (si tratta della cd. impresa illecita),
si applica la sanzione dell'interdizione definitiva dall'esercizio dell'attività ai
sensi dell' articolo 16, comma 3.
Alcune osservazioni sulle fattispecie più rilevanti e il loro interferire
con la sfera telematica e informatica.
o
o
o
al primo comma lettera a) fa riferimento alle fattispecie del codice penale di cui agli
articoli: 600 (riduzione o mantenimento in schiavitù o in servitù), 601 (tratta di persone),
602 (acquisto e alienazione di schiavi);
al primo comma lettera b) fa riferimento alle fattispecie di cui agli articoli 600 bis c.p.
(prostituzione minorile) primo comma (“chiunque:1)recluta o induce alla prostituzione
una persona di età inferiore agli anni diciotto; 2) favorisce, sfrutta, gestisce, organizza o
controlla la prostituzione di una persona di età inferiore agli anni diciotto, ovvero
altrimenti ne trae profitto”), 600 ter (pornografia minorile), comma primo (“chiunque:
1) utilizzando minori di anni diciotto, realizza esibizioni o spettacoli pornografici ovvero
produce materiale pornografico; 2) recluta o induce minori di anni diciotto a
partecipare a esibizioni o spettacoli pornografici ovvero dai suddetti spettacoli trae
altrimenti profitto”) e secondo (“chi fa commercio del materiale pornografico di cui al
primo comma”). In questo caso si precisa che ciò vale anche se l'oggetto delle condotte è
materiale pornografico di cui all'articolo 600 quater.1 (pornografia virtuale) ovvero
materiale che “rappresenta immagini virtuali realizzate utilizzando immagini di minori
degli anni diciotto o parti di esse (...) per immagini virtuali si intendono immagini
realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a
situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non
reali”, nonché se i reati di prostituzione e pornografia minorile sono volte al fine di cui
all'art. 600 quinquies (iniziative turistiche volte allo sfruttamento della prostituzione
minorile), ovvero all'organizzazione ed alla propaganda di attività di prostituzione a
danno di minori o comunque comprendenti tale attività.
al primo comma lettera c) fa riferimento al secondo comma dell'art. 600 bis al terzo e
quarto comma dell'art. 600 ter e all'art. 600 quater (detenzione di materiale pornografico
realizzato utilizzando minori degli anni diciotto), anche qualora si tratti di immagini
virtuali di cui all'art. 600 quater.1 c.p. Infine la fattispecie in analisi, art. 25 quinquies
d.lgs. 231/2001, fa riferimento, sempre al primo comma lettera c) all'art. 609 undecies
c.p. relativo alla condotta di adescamento di minorenni, ovvero un qualsiasi atto “volto a
carpire la fiducia del minore attraverso artifici, lusinghe o minacce posti in essere anche
mediante l'utilizzo della rete internet o di altre reti o mezzi di comunicazione”.
369
L'art 600 ter c.p. punisce le condotte di realizzazione, produzione di
materiale pornografico, ovvero l'induzione di minori a partecipare ad
esibizioni pornografiche. Si incrimina anche l'attività di chi commercia il
materiale pornografico, nonché lo offra o ceda, anche a titolo gratuito. Si tratta
di un reato di pericolo concreto. Le condotte di “produzione” ed “esibizione”
contemplate richiedono l'inserimento della condotta in un contesto di
organizzazione almeno embrionale e di destinazione, anche potenziale, del
materiale pornografico alla successiva fruizione da parte di terzi761. Il terzo
comma dell'art. 600 ter in esame, pur prescindendo dall'inciso “anche per via
telematica”, risulta di ovvio e maggiore interesse nel complesso nel complesso
dei delitti informatici762. Il reato di pornografia minorile, ove commesso per
via
telematica
è
integrato
dall'immissione
in
rete
del
materiale
pedopornografico, in quanto si tratta di condotta idonea a rendere
concretamente possibile la diffusione del materiale, attesa la possibilità di
accesso al medesimo da parte di un numero indeterminato di persone.
Affinché sussista il dolo di tale reato, occorre che sia provato che il soggetto
abbia avuto non solo la volontà di procurarsi materiale pedopornografico, ma
anche la specifica volontà di distribuirlo e divulgarlo, desumibile da elementi
specifici e ulteriori rispetto al mero uso di un programma di file sharing763.
761
In questo senso, D'AIUTO - LEVITA, I reati informatici, op.cit., p. 76. Ad esempio
«anche la realizzazione della videoripresa di un rapporto sessuale, non limitata a un utilizzo
privato, ma destinata a una diffusione suscettibile di interessare un numero indeterminato di
soggetti integra il delitto in discorso, laddove coinvolti nella ripresa siano soggetti minori di
età».
762
Il terzo comma dell'art. 600 ter recita “chiunque (...) con qualsiasi mezzo, anche per via
telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al
primo comma (...)”, l'inciso “anche per via telematica, è chiaramente superfluo.
763
La sussistenza dell'elemento soggettivo dei reato di divulgazione di materiale
pedopornografico implica la volontà consapevole di divulgare o diffondere lo stesso, dunque,
la giurisprudenza di legittimità ha precisato che l'utilizzo per lo scaricamento di file da
Internet di un determinato tipo di programma di condivisione, quale eMule o simili, non è
sufficiente di per sé a far ritenere provata la volontà anche di diffondere il materiale (Cfr.
Cass. pen. sez. III, 9 novembre 2011, n. 44065; Cass. pen. sez. III, 12 gennaio 2010, n.
11082). Contra, sul punto, invece, Cass. pen. sez. III, 5 febbraio 2009, n. 24788 afferma che
«il delitto di divulgazione via Internet di materiale pedopornografico è integrato dalla
condivisione indifferenziata di materiale informatico di contenuto pedopornografico
attraverso la predisposizione nel proprio computer di cartelle di condivisione ovvero di file
370
Infatti la condotta di divulgazione che avvenga in via automatica mediante
l'utilizzo di appositi programmi informatici, che ne consentano al tempo stesso
la condivisione con altri utenti (es. il programma eMule), presuppone
comunque che i file, di cui si compone detto materiale, siano interamente
scaricati e visionabili nonché lasciati nella cartella dei file destinati alla
condivisione. Sempre con riguardo alla fattispecie di cui all'art. 600 ter c.p., la
giurisprudenza di merito ha analizzato la problematica relativa alla
condivisione di materiale illecito sulla rete Fast Track, la quale opera
abilitando ciascun utente a mettere automaticamente a disposizione degli altri,
fotografie o filmati da destinare allo scambio, configurando, per tale effetto, il
reato di divulgazione di materiale pedopornografico. Il delitto in argomento,
però, pur essendo un reato di pericolo, richiede che la possibilità di accesso ai
dati pornografici, per un numero indeterminato di soggetti, sia garantita
effettivamente. Nel caso in esame764, il Tribunale è giunto ad una pronuncia
assolutoria dell'imputato, non essendosi potuto verificare se lo spazio di
condivisione fosse mai stato utilizzato, cioè se l'imputato avesse mai operato
lo scambio di materiale illecito, scaricandolo oppure mettendolo a
disposizione di altri soggetti. Anche la Cassazione765 ha assunto un
atteggiamento abbastanza garantista, puntualizzando, per esempio, che la mera
circostanza dello scaricamento dei file da programmi di condivisione comune,
non costituisce di per sé prova della volontà di diffondere il materiale
pedopornografico; ne consegue che in difetto di ulteriori elementi non possa
configurarsi la fattispecie di cui all'art. 600 ter, comma 3, c.p. Naturalmente,
sharing, in cui sono collocate esplicite immagini di attività sessuale minorile, di modo che
altri utenti, in possesso di software compatibile possano accedere, attraverso la rete, a dette
cartelle e così visionare e scambiare le immagini pedopornografiche in esse contenute». Cfr.
anche F. NOVARIO, Pornografia minorile e file sharing: l'influenza della tecnologia
informatica sull'asse probatorio, in Dir. pen. processuale, n. 10, 2009, pp. 1290 ss; E.
BALZAROTTI, File sharing: condivisione di informazioni o violazione del diritto d'autore?
Tecnologia e sistema socio-giuridico a confronto, in Ciberspazio e diritto, vol. VIII, n. 2,
2007, pp. 111-165.
764
Trib. Bari, sez. I, 27 novembre 2007, n. 1556, in Merito, n. 12, 2007, pp. 54 ss.
765
Cass. pen. sez. III, 11 novembre 2010, n. 42509; Cass. pen. sez. III, 6 ottobre 2009, n.
41743 in Guida Dir., Speciale, n. 2, 2010, pp. 87 ss.
371
va sottolineato che ben diversa è l'ipotesi in cui la condivisione dei file
avviene
tramite
una
conversazione
per
via
telematica
(cd.
chat),
rappresentando la condivisione una forma di scambio di documenti
informatici766.
Mentre la fattispecie appena analizzata è un reato a natura istantanea,
quella successiva, l'art. 600 quater c.p, invece, ha natura di reato permanente e
unisce la condotta della detenzione di materiale pornografico767. In relazione a
quest'ultimo reato la Suprema Corte aveva ritenuto che integrasse il reato di
detenzione di materiale pedopornografico la semplice visione di immagini
pedopornografiche scaricate da un sito internet, poiché, per un tempo anche
limitato alla sola visione, le immagini erano da ritenersi nella disponibilità
dell'agente, nonostante lo stesso le abbia poi spostate nel “cestino” del sistema
operativo (Cass. pen. sez. III, 6 ottobre 2010, n. 639). La giurisprudenza di
merito ha contestato affermando che non è sufficiente ad integrare il reato di
detenzione di materiale pedopornografico la condotta di chi vi entri in contatto
mediante la navigazione casuale via internet, ma è necessario che si appropri
766
Una particolare vicenda è passata al vaglio della Corte di Cassazione: un imputato ha
dedotto in sede di legittimità, di aver inviato le immagini incriminate attraverso messaggi di
posta elettronica i quali, depositati in appositi server NNTP, si rendevano disponibili solo
dopo essere stati visionati da un moderatore. La Corte ha osservato che l'attività di cessione
del materiale pedopornografico, pur così configurata, non rientrava nell'ambito della
connessione privata, come l'imputato voleva far credere, in quanto essa era messa a
disposizione di un numero indeterminato di utenti, e che la presenza del moderatore è da
considerare del tutto irrilevante, non escludendo affatto la responsabilità dell'imputato, ma
potendo semmai ipotizzarsi un suo concorso con quest'ultimo. Cass. pen. sez. III, 2 agosto
2011, n. 30564.
767
Precisamente la condotta del reato in esame è: “chiunque al di fuori delle ipotesi previste
dall'articolo 600 ter, consapevolmente si procura o detiene materiale pornografico realizzato
utilizzando minori di anni diciotto (..)". Esso riveste una funzione di chiusura del sistema e
ha carattere residuale, ovvero per non lasciare impunite alcune condotte di sfruttamento dei
minori ai fini di pratiche sessuali illegali, copre tutte le condotte consistenti nel procurarsi o
detenere materiale pornografico utilizzando minori, anche nel caso n cui il materiale stesso
sia stato prodotto con il consenso del minore e senza alcuna connotazione economica. Quella
clausola di riserva espressa con "al di fuori delle ipotesi previste dall'articolo 600 ter”
impedisce che il soggetto che ha posto in essere alcune condotte di cui all'art. 600 ter c.p.
possa essere chiamato a rispondere anche della fattispecie di detenzione di materiale
pedopornografico: il conflitto apparente di norme è superato in favore dell'applicazione della
norma più grave, ovvero l'art. 600 ter c.p. Quindi, per esempio la detenzione di materiali
commessa da soggetti dopo averli prodotti rappresenta un post factum non punibile.
372
salvando le immagini sul disco fisso del computer o su altri supporti che ne
consentano la visione e la riproduzione. Detto salvataggio deve essere
consapevole e volontario, dovendosi escludere la responsabilità penale nei casi
in cui il materiale rinvenuto sul computer costituisca mera traccia di una
trascorsa consultazione web, creata dai sistemi di salvataggio automatico del
computer768. L'elemento costitutivo del reato è dato, sul piano oggettivo, dalla
condotta di chi si procura o dispone di materiale pornografico prodotto
attraverso lo sfruttamento dei minori, condotta che con riferimento ai materiali
informatici, può essere integrata dall'appropriarsi di immagini aventi tale
contenuto, salvandole e veicolandole sul disco fisso del computer o su altri
supporti, con esso interfacciabili, che ne consentono la visione o la
riproduzione.
Infine, l'art. 600 quater.1 (rubricato “pornografia virtuale”), al suo
primo comma, estende l'ambito applicativo delle norme appena esaminate
(artt. 600 ter e quater c.p.) alle ipotesi di pornografia virtuale. Tale estensione
ha suscitato non poche critiche. Si definiscono, al secondo comma della norma
in esame, immagini virtuali quelle “realizzate con tecniche di elaborazione
grafica non associate in tutto o in parte a situazioni reali, la cui qualità della
rappresentazione fa apparire come vere situazioni non reali”. Risulta evidente,
quindi, come qui il vulnus ai beni giuridici tutelati769 sia decisame
