Le società rispondono in caso di reati commessi dagli amministratori o dal personale?
Le sanzioni sono elevate?
Le società si possono tutelare dal cattivo operato dei componenti dell’organizzazione?
Il legislatore introduce nuovi principi con il D.Lgs. 231/2001?
La responsabilità amministrativa delle società si applica anche ai reati in materia di privacy?
A tutte queste domande che spesso vengono poste dai clienti, i responsi sono affermativi. Di seguito vengono articolate le risposte.
Per quali ipotesi di reato si configura la responsabilità amministrativa delle società?
Per prima cosa si riporta l’elenco dei reati previsti dal D.Lgs. 231/2001:
- Truffa in danno dello Stato o di un ente pubblico
- Concussione, induzione indebita a dare o promettere utilità, corruzione
- Delitti informatici e trattamento illecito di dati
- Delitti di criminalità organizzata
- Delitti contro la fede pubblica
- Delitti contro l’industria e il commercio
- Reati societari e corruzione tra privati
- Delitti con finalità di terrorismo o di eversione dell’ordine democratico
- Delitti contro la personalità individuale
- Reati di abuso di informazioni privilegiate e di manipolazione del mercato
- Violazione delle norme sulla tutela della salute e sicurezza sul lavoro
- Reati ambientali
- Reati di riciclaggio e ricettazione
- Delitti in materia di strumenti di pagamento diversi dai contanti
- Impiego di soggetti il cui soggiorno è irregolare
Quali sono le sanzioni applicabili alle società?
Le sanzioni per illeciti amministrativi dipendenti da reato sono:
- la sanzione pecuniaria (fino a € 1.500.000) da aggiungere alle sanzioni previste per lo specifico reato (es. sanzioni del GDPR per gli illeciti “privacy”);
- la sanzione interdittiva (anche in via cautelare);
- la confisca;
- la pubblicazione della sentenza.
La sanzione pecuniaria è determinata dal giudice considerando la gravità del fatto, il grado della responsabilità dell’ente, nonché l’attività svolta per eliminare o attenuare le conseguenze del fatto o per prevenire la commissione di ulteriori illeciti.
Le società si possono tutelare dal cattivo operato dei componenti dell’organizzazione?
Sì, adottando un efficace Modello di organizzazione e gestione, erogando la formazione al personale, costituendo un Organismo di Vigilanza; tutte attività/funzioni che possono fornire i professionisti di Studio Scudo.
Cerchi un Partner affidabile per la Privacy e la Protezione Dati della tua Azienda?
Alcune sentenze hanno assolto la Società che si era dotata di un idoneo Modello di organizzazione prima della commissione dei reati da parte del proprio personale. Ciò che conta è che il Modello presenti i requisiti dettati dall’art. 6 del D.Lgs. 231/01, ossia:
- organo di controllo;
- protocolli di decisione;
- sistema disciplinare;
- protocolli che regolino i flussi informativi verso l’OdV e prevedano veri e propri obblighi di informazione;
- precisa individuazione delle arre di rischio.
Cass. Sez. V, 30-01-2014, n. 4677 ELUSIONE FRAUDOLENTA: il D.Lgs. 231/01 parte dal presupposto che un efficace modello organizzativo e gestionale può essere violato (e dunque il reato che si vuole scongiurare può essere commesso) solo se le persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente (art. 5 co.1 lett. A) abbiano operato eludendo fraudolentemente il modello stesso.
Dunque la natura fraudolenta della condotta del soggetto apicale (persona fisica) costituisce, per così dire, un indice rilevatore della validità del modello, nel senso che solo una condotta fraudolenta appare atta a forzarne le misure di sicurezza.
Cass. Sez. V, 30-01-2014, n. 4677 OBBLIGO IMPEDITIVO: l’approntamento di un modello non basta ad esimere una società da responsabilità amministrativa, essendo anche necessaria l’istituzione di una funzione di vigilanza sul funzionamento e sull’osservanza di modelli, attribuita a un organismo dotato di autonomi poteri di iniziativa e controllo.
Ma perché iniziativa e, principalmente, controllo, siano effettvi e non meramente “cartolari”, si deve predisporre la non subordinazione del controllante al controllato.
Il legislatore introduce nuovi principi con il D.Lgs. 231/2001?
Il D.Lgs. 231 del 2001 e smi disciplina la responsabilità degli enti (società e associazioni) per gli illeciti amministrativi dipendenti da reato. Questa responsabilità, pur essendo amministrativa, di fatto segue i tratti essenziali del sistema penale, in quanto:
- il meccanismo di irrogazione delle sanzioni è basato sul processo penale ed è il giudice penale a stabilire le sanzioni;
- l’autorità competente a contestare l’illecito è il Pubblico Ministero;
- le società indagate sono iscritte nel “Registro dei Carichi Pendenti” e le eventuali condanne sono iscritte nel “Casellario Giudiziale Penale”.
Questa norma rappresenta una svolta epocale nella concezione dell’ordinamento giuridico che ha sempre diffidato nell’accettare l’istituto della responsabilità penale delle società, secondo il principio costituzionale dall’art. 27: “La responsabilità penale è personale. Le pene devono tendere alla rieducazione del condannato.” Il legislatore con il decreto 231 ha trovato una terza via (“sia penale sia amministrativa” e “ne penale ne amministrativa”), considerando che:
- le sanzioni alle quali le società potrebbero essere condannate non hanno il tipico compito rieducativo delle sanzioni penali;
- la norma non è di solo genere amministrativo, perché è presupposta la presenza di un reato penale.
La società risponde, in aggiunta al soggetto che ha commesso il reato, se:
- non ha predisposto un Modello Organizzativo effettivo ed efficace per la prevenzione dei reati;
- il reato è stato commesso da soggetti qualificati, intendendo per qualificati i soggetti apicali (che rivestono funzioni di rappresentanza, amministrazione o di funzione) o soggetti sottoposti ad altrui direzione (che eseguono le decisioni intraprese dal vertice);
- il reato è stato commesso nell’interesse (“ex ante” interesse prefigurato e magari non realizzato) o a vantaggio (“ex post” vantaggio obbiettivamente conseguito seppure non prospettato) della società.
Studio Scudo offre la consulenza per la predisposizione del Modello Organizzativo 231 e l’assistenza per verificarne l’effettiva efficacia
La strada percorsa dal legislatore è quella di mitigare gli elementi tipici dei sistemi amministrativo e penale, tentando inoltre di fondere e plasmare all’interno del nostro sistema a base codicistica i Compliance Programs di provenienza anglo-americana.
Il legislatore tenta di infrangere quella sorte di estraneità mediante la quale la percezione del reato è ridotta ad un evento isolato e lontano dalla sfera di interesse della società stessa.
Parte dei disposti adottati dal D.Lgs. 231/2001 sono prototipi organizzativi per attivare efficaci sistemi di controllo interno tali da salvaguardare la liceità e la correttezza dell’esercizio dell’impresa.
La responsabilità amministrativa delle società si applica anche ai reati in materia di privacy?
Si elencano di seguito i “delitti” informatici ex articolo 25-sexies del D.Lgs. 231/01:
- 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità;
- 419-bis: falsità in un documento informatico pubblico o privato;
- 615-ter: accesso abusivo ad un sistema informatico o telematico;
- 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
- 615-quinqies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
- 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
- 617-quinqies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;
- 635-bis: danneggiamento di informazioni, dati e programmi informatici;
- 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo stato o da altro ente pubblico o comunque di pubblica utilità;
- 640-quinquies: truffa del certificatore di firma elettronica.
Esempi pratici relativi all’attuazione dei principi del d.lgs. 231/01 in materia di privacy
Un esempio di “delitto informatico” può essere l’accesso illegale, intenzionale e senza diritto, a tutto o a parte di un sistema informatico (art. 615 ter c.p.):
- chi accede ad un sistema protetto da misure di sicurezza (hackeraggio);
- chi accede nel sistema legittimamente, ma vi si mantiene contro la volontà espressa o tacita di chi ha il diritto ad escluderlo.
Sanzione da 100 a 150 quote. Valore della quota va da € 258,23 a € 1.549,37 sulla base delle condizioni economiche e patrimoniali dell’ente allo scopo di assicurare l’efficacia della sanzione.
La società deve dimostrare che:
- ha posto in essere procedure/policy utili a prevenire il reato che si è verificato;
- la commissione del reato è stata possibile solo attraverso una condotta non rispettosa delle procedure/policy interne adottate dalla società, così eludendo i sistemi di controllo interno.
Però attenzione: a dover preoccupare le aziende è la circostanza che la responsabilità stessa possa essere imputata anche nelle ipotesi in cui non venga rintracciato l’autore materiale del reato.
Ne consegue che la mancata individuazione del soggetto attivo del reato, non infrequente in materia di criminalità informatica, possa non far comprendere esattamente all’organo giudicante le motivazioni dello stesso e quindi determinare un’attribuzione di responsabilità anche quando l’autore del reato abbia agito per fini esclusivamente personali e non nell’interesse del suo datore di lavoro.
Cosa inserire nel Modello 231 per i delitti informatici?
Regolamentazione: il processo di gestione del server e del sito internet dell’azienda deve essere definito da una policy interna sull’utilizzo degli strumenti informatici consegnata ad ogni soggetto autorizzato.
Il Responsabile IT (amministratore di sistema) deve occuparsi del controllo sui dispositivi HD & SW e della creazione dei profili utente che sono necessari per tracciare l’accesso ai terminali da parte dei dipendenti/collaboratori ed eventuali agenti esterni.
Devono essere date chiare istruzioni alla eventuale società esterna (tipicamente una web agency) che dovesse occuparsi della gestione del sito, della mailing list e della gestione social.
Segregazione dei compiti: il processo deve prevedere la separazione dei compiti:
- Esecuzione: responsabile IT, società esterna
- Controllo: responsabile IT
- Autorizzazione: amministratore delegato
Tracciabilità: tutta la documentazione relativa alla gestione delle risorse informatiche deve essere archiviata dal CED.
Procura e deleghe: le funzioni, i compiti e i poteri di intervento affidati alle eventuali società esterne devono essere regolati da appositi contratti (nomine di responsabile al trattamento).
Protocolli di controllo specifici: politica aziendale di utilizzo di strumenti informatici; rispetto della normativa per la protezione dei dati personali con riferimento alla conservazione dei dati informatici.