da Redazione | Ott 7, 2024 | Diritto d'Impresa, Diritto Penale
Il decreto legislativo di recepimento della Direttiva NIS 2 ha introdotto una regolamentazione che, in parte, si sovrappone all’ambito disciplinato dal Decreto-Legge 105/2019, istitutivo del Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Tale parziale coincidenza emerge chiaramente dall’analisi degli ambiti soggettivi delle due normative. Da un lato, l’articolo 3 e l’articolo 6 del decreto NIS 2 individuano come destinatari gli operatori essenziali e importanti di settori rilevanti, tra cui molti rientrano nelle infrastrutture strategiche e nei servizi essenziali definiti dal D.L. 105/2019. In particolare, il DPR 30 luglio 2020, n. 131, ha esplicitamente elencato quei settori considerati di interesse nazionale, che coincidono con alcuni dei settori ricompresi anche nell’ambito di applicazione della normativa NIS 2.
L’introduzione di queste due normative mira a garantire una maggiore protezione delle infrastrutture critiche e dei sistemi informativi nazionali, attraverso la gestione del rischio cibernetico e l’adozione di misure di sicurezza proporzionate. Tuttavia, per gli operatori già inseriti nel PSNC, le nuove disposizioni della NIS 2 possono comportare obblighi aggiuntivi o diversamente modulati. L’articolo si propone di fornire un quadro completo e chiaro degli adempimenti che tali operatori devono rispettare per garantire la compliance con entrambe le normative.
A conclusione dell’articolo, forniremo una checklist degli adempimenti fondamentali e un calendario delle principali scadenze, utili per aiutare le imprese e gli enti pubblici a rispettare le disposizioni del D. Lgs. 138/2024 e del D.L. 105/2019. Questo strumento sarà essenziale per gestire in maniera efficiente le fasi di adeguamento richieste dalla normativa NIS di nuovo conio.
Perimetro di Sicurezza Nazionale Cibernetica: quali obblighi?
Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il D.L. 105/2019, impone una serie di obblighi a carico dei soggetti che ne fanno parte, con l’obiettivo di garantire la protezione delle infrastrutture e dei sistemi essenziali per la sicurezza nazionale. Di seguito una breve disamina dei principali obblighi.
I soggetti inclusi nel Perimetro, una volta ricevuta la comunicazione ufficiale della loro inclusione, sono tenuti a predisporre e aggiornare periodicamente un elenco dettagliato dei beni ICT impiegati. Questo elenco deve includere i sistemi informativi e i servizi informatici che utilizzano tali beni, con l’indicazione specifica di quelli che, in caso di incidente, potrebbero causare l’interruzione totale o parziale delle funzioni essenziali o dei servizi essenziali. In particolare, devono essere evidenziati quei beni la cui compromissione potrebbe avere effetti irreversibili sulla riservatezza, integrità o disponibilità dei dati gestiti.
Entro sei mesi dalla comunicazione di inclusione nelle liste del PSNC, i soggetti devono trasmettere all’Autorità competente l’elenco completo dei beni ICT, accompagnato dai modelli che descrivono l’architettura di tali beni. Questo trasferimento di informazioni avviene attraverso una piattaforma digitale dedicata, garantendo così la sicurezza delle informazioni inviate.
In aggiunta a questi obblighi, i soggetti inclusi nel Perimetro sono tenuti a rispettare rigorose misure di sicurezza che mirano a prevenire e mitigare gli effetti di eventi dannosi in grado di pregiudicare il normale svolgimento delle loro attività. Tali misure, elaborate ai sensi dell’articolo 1, comma 4, del D.L. 105/2019, sono oggi elencate nel DPCM 81/2021, e impongono standard elevati di protezione.
Un ulteriore obbligo riguarda la notifica tempestiva di ogni incidente informatico al Gruppo di intervento per la sicurezza informatica in caso di incidente italiano (CSIRT Italia). Questa notifica deve essere effettuata senza indugio per consentire una gestione rapida e coordinata degli eventi.
Infine, i soggetti inclusi nel PSNC devono segnalare al Centro di valutazione e certificazione nazionale (CVCN) l’avvio di qualsiasi procedura di affidamento per la fornitura di beni ICT che saranno utilizzati su reti, sistemi informativi e servizi essenziali, al fine di garantire il rispetto delle misure di sicurezza nazionali anche nei processi di approvvigionamento tecnologico.
Il coordinamento tra PSNC e disciplina NIS 2
Il coordinamento tra il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la disciplina introdotta dalla Direttiva NIS 2, come regolamentato dall’art. 33 del D. Lgs. 138/2024, rappresenta un aspetto cruciale per garantire una gestione integrata e coerente della sicurezza cibernetica a livello nazionale. Il legislatore ha voluto evitare sovrapposizioni e ridondanze normative tra le due discipline, garantendo al contempo che i soggetti già inseriti nel PSNC continuino a rispettare gli obblighi di sicurezza stabiliti dal D.L. 105/2019, senza dover duplicare le misure previste dal nuovo assetto normativo introdotto dalla NIS 2.
In primo luogo, il decreto stabilisce che gli obblighi di gestione del rischio per la sicurezza informatica e di notifica degli incidenti previsti dal D.L. 105/2019 sono considerati almeno equivalenti a quelli imposti dal D. Lgs. 138/2024. Questo significa che i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica non sono tenuti ad adempiere contemporaneamente agli obblighi di entrambe le normative, ma possono continuare a rispettare le disposizioni del PSNC, considerate sufficienti anche ai fini della NIS 2.
Tuttavia, il coordinamento tra le due discipline non implica una completa esenzione dalla normativa NIS 2. Infatti, l’art. 33 chiarisce che le reti, i sistemi informativi e i servizi inseriti nell’elenco del Perimetro di Sicurezza non sono soggetti alle disposizioni del decreto NIS 2, ma soltanto per quanto riguarda i beni strettamente rientranti nell’ambito del PSNC. Per tutti gli altri sistemi o servizi non compresi nel perimetro di sicurezza nazionale, continuano ad applicarsi le disposizioni del D. Lgs. 138/2024. Ciò garantisce che ogni infrastruttura critica e ogni soggetto essenziale o importante sia adeguatamente tutelato, senza lasciare lacune nel sistema di protezione cibernetica nazionale.
Un altro aspetto rilevante riguarda la notifica degli incidenti. I soggetti del Perimetro che notificano un incidente ai sensi del D.L. 105/2019 non devono ripetere la notifica seguendo le disposizioni del D. Lgs. 138/2024 per lo stesso evento. Anche in questo caso, il legislatore ha voluto evitare duplicazioni procedurali, garantendo una gestione più snella e coerente degli incidenti cibernetici.
La scelta del legislatore di coordinare il PSNC con la disciplina della Direttiva NIS 2 risponde all’esigenza di armonizzare le normative nazionali ed europee in materia di sicurezza cibernetica, garantendo che i soggetti coinvolti possano adottare misure di sicurezza efficaci, senza doversi confrontare con obblighi duplicati o conflittuali. Questo approccio garantisce una protezione ottimale delle infrastrutture critiche, pur mantenendo la coerenza tra le diverse normative applicabili.
Soggetti inclusi nel Perimetro, registrazione nella piattaforma, e obblighi NIS.
I soggetti già inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) devono affrontare un’analisi preliminare per determinare se rientrano anche nell’ambito di applicazione del Decreto NIS 2. Questa valutazione è essenziale per stabilire se operano nei settori considerati critici o altamente critici, elencati negli Allegati I e II del D. Lgs. 138/2024, o se possiedono una delle qualifiche di soggetti pubblici o privati elencati negli Allegati III e IV. Qualora un soggetto operi in uno di questi ambiti, è tenuto a rispettare anche gli obblighi imposti dalla normativa NIS 2, oltre a quelli già previsti dal D.L. 105/2019.
Una volta confermata l’applicabilità del decreto NIS 2, i soggetti dovranno verificare se all’interno della loro organizzazione esistano reti e sistemi informativi che non rientrano nella clausola di esclusione prevista dall’art. 33, comma 1, lettera b), del D. Lgs. 138/2024.
Tale clausola esclude dall’ambito di applicazione della NIS 2 le reti e i sistemi già sottoposti alla disciplina del PSNC. Tuttavia, qualora esistano reti o sistemi informativi che non ricadano nel PSNC, ma che siano comunque rilevanti ai fini della NIS 2, questi soggetti dovranno procedere alla registrazione sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione deve essere effettuata – a seconda dei casi – entro il 17 gennaio 2025 o entro il 28 febbraio 2025, come già approfondito in un precedente articolo.
Per quanto riguarda l’obbligo di notifica degli incidenti, il Decreto NIS 2 prevede una deroga per gli incidenti che riguardano reti e sistemi informativi già sottoposti alla disciplina del PSNC. In questi casi, gli incidenti non devono essere notificati secondo le disposizioni del D. Lgs. 138/2024. Tuttavia, se l’incidente riguarda reti o sistemi esterni al PSNC, ma comunque soggetti alla normativa NIS 2, si ritiene che i soggetti debbano rispettare i termini di notifica stabiliti dagli artt. 25 e 42 del decreto.
Un ulteriore obbligo riguarda la comunicazione dell’elenco delle attività e dei servizi svolti dai soggetti, con la loro caratterizzazione e categorizzazione. Tale obbligo entrerà in vigore a partire dal 1° gennaio 2026, e da quella data i soggetti saranno tenuti a fornire annualmente le informazioni relative alle sole reti e sistemi che non rientrano nel Perimetro di Sicurezza Nazionale.
Entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, gli enti già inclusi nel PSNC dovranno inoltre adottare le misure di gestione del rischio e le misure di sicurezza previste dal Decreto NIS 2 per le reti e i sistemi non coperti dal PSNC. È possibile ritenere che, se tali misure sono analoghe a quelle previste dall’art. 1, comma 3, lettera b), del D.L. 105/2019, esse saranno considerate equivalenti a quelle richieste dal D. Lgs. 138/2024.
In conclusione, questa checklist fornisce un quadro orientativo degli adempimenti necessari per i soggetti già inclusi nel Perimetro e ora soggetti anche alla normativa NIS 2. Tuttavia, la complessità della disciplina e le peculiarità di ciascun soggetto richiedono una valutazione approfondita che solo una consulenza legale esperta può offrire. Il nostro studio legale è a disposizione per assistere le imprese e le pubbliche amministrazioni in tutte le fasi del processo di conformità alle normative sulla cybersicurezza.
Checklist di adempimenti
- Verifica se l’organizzazione rientra nei settori degli Allegati I e II, o se possiede una qualifica prevista dagli Allegati III e IV del D. Lgs. 138/2024.
- Valuta se ci sono reti o sistemi informativi che non ricadono nella clausola di esclusione ai sensi dell’art. 33, comma 1, lett. b) D. Lgs. 138/2024
- Se esistono reti o sistemi extra Perimetro, procedi alla registrazione sulla piattaforma ACN entro il 17 gennaio 2025 o 28 febbraio 2025.
- Fornisci le ulteriori informazioni richieste dal Decreto NIS 2 entro il 31 maggio 2025
- Gli incidenti relativi a reti intra Perimetro non richiedono notifica secondo il D. Lgs. 138/2024, mentre gli incidenti extra Perimetro devono essere notificati secondo le tempistiche NIS 2.
- Dal 1° gennaio 2026, comunica annualmente l’elenco delle attività e dei servizi per le reti e sistemi extra Perimetro, includendo caratterizzazione e categorizzazione.
- Entro 18 mesi dall’inserimento nell’elenco NIS, adotta le misure di gestione del rischio e sicurezza per le reti e sistemi extra Perimetro, con possibili equivalenze alle misure PSNC.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
SCARICA QUI IL PDF DELLA CHECKLIST: Checklist_NIS2_Perimetro_dagostinolex
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2 e Perimetro, gestione del rischio e incidenti informatici
da Redazione | Ott 3, 2024 | Diritto d'Impresa, Diritto Penale
Il falso in bilancio è un tema sempre attuale. Invero la redazione del bilancio rappresenta un momento di cruciale importanza per la vita di ogni impresa, poiché costituisce il principale strumento attraverso cui viene data evidenza della situazione patrimoniale, economica e finanziaria della società. Tale documento, destinato a essere scrutinato da una molteplicità di soggetti – dagli azionisti agli investitori, dai creditori agli enti regolatori – deve riflettere con la massima trasparenza la realtà aziendale, garantendo così la tutela dell’affidamento che il mercato ripone nell’impresa.
In un simile contesto, l’attenzione posta alla rappresentazione veritiera e corretta dei dati contabili non è solo una questione di precisione tecnica, ma costituisce una vera e propria responsabilità giuridica. Gli amministratori e i dirigenti delle società sono tenuti a rispettare rigorosi obblighi di legge in merito alla veridicità delle informazioni finanziarie riportate nei bilanci.
Il mancato rispetto di tali obblighi, come noto, espone gli organi apicali dell’impresa non solo a sanzioni di natura civile e amministrativa, ma anche a gravi responsabilità penali, in particolar modo in relazione al reato di falso in bilancio (i.e. false comunicazioni sociali, art. 2621 c.c.). La delicatezza della materia impone, pertanto, una riflessione approfondita sui rischi derivanti da una rappresentazione contabile non conforme alle norme, con particolare riferimento alle implicazioni penalmente rilevanti.
L’obiettivo di questo contributo è quello di destare attenzione sull’importanza della corretta redazione dei bilanci e delle conseguenze derivanti da eventuali violazioni delle disposizioni di legge in materia (in particolare per falso in bilancio). Verranno analizzati i principali profili di rilevanza penale connessi alla redazione di bilanci non veritieri, con particolare riferimento al reato di false comunicazioni sociali, evidenziando altresì il ruolo fondamentale della prevenzione per una gestione aziendale conforme alla normativa e alle best practices di settore.
Sottovalutazione o sopravvalutazione delle voci patrimoniali. Falso in bilancio e impatto sulle decisioni economico-finanziarie
La corretta valutazione delle voci patrimoniali rappresenta un elemento centrale nella redazione del bilancio di esercizio, in quanto consente di fornire una rappresentazione veritiera e corretta della situazione economica e finanziaria dell’impresa. In tal senso, la sopravvalutazione o la sottovalutazione delle attività e delle passività costituiscono fattori distorsivi che possono alterare significativamente la percezione della salute finanziaria dell’azienda, con ripercussioni sulle decisioni degli stakeholder, quali investitori, creditori e partner commerciali.
La sopravvalutazione delle attività si verifica, ad esempio, quando i beni materiali o immateriali dell’impresa vengono iscritti a bilancio con valori superiori a quelli effettivi, violando il principio della prudenza contabile. Un esempio tipico riguarda l’iscrizione di immobili aziendali a un valore superiore a quello di mercato, basandosi su perizie non aggiornate o su criteri di valutazione eccessivamente ottimistici. Similmente, un altro caso ricorrente di sopravvalutazione si riscontra nella contabilizzazione di crediti verso clienti, che vengono mantenuti a bilancio come integralmente recuperabili, pur in presenza di segnali di difficoltà nel recupero, come inadempimenti protratti o situazioni di insolvenza degli stessi debitori. Questo comporta una rappresentazione artificiosa della liquidità e della capacità di incasso dell’impresa.
Dall’altra parte, la sottovalutazione delle passività si manifesta quando le obbligazioni dell’impresa vengono iscritte in bilancio a un valore inferiore a quello effettivo o vengono omesse del tutto, con il risultato di presentare una situazione finanziaria più solida di quella reale. Un esempio concreto di sottovalutazione riguarda il mancato accantonamento o un accantonamento insufficiente per passività potenziali, come le vertenze legali in corso, che potrebbero comportare esborsi significativi nel futuro. Un altro caso comune è la sottostima dei debiti verso fornitori o degli oneri fiscali, attraverso una rappresentazione dilazionata o inadeguata delle scadenze imminenti.
Tali distorsioni nella valutazione delle voci patrimoniali non solo compromettono la trasparenza e la veridicità del bilancio, ma incidono anche sulle scelte operative e strategiche di chi esamina questi dati. Un investitore, di fronte a una sopravvalutazione delle attività, potrebbe essere indotto a sovrastimare la redditività potenziale dell’impresa e a intraprendere decisioni di investimento basate su un quadro non realistico. Analogamente, un creditore potrebbe valutare erroneamente la capacità dell’impresa di onorare i propri debiti in presenza di una sottovalutazione delle passività, con conseguente rischio di esposizione finanziaria.
La responsabilità penale per falso in bilancio
La disciplina del falso in bilancio, contenuta negli artt. 2621 e 2622 del codice civile, individua tra i soggetti attivi del reato gli amministratori, i direttori generali, i sindaci e i liquidatori, ovvero coloro che rivestono un ruolo di responsabilità nella gestione e nella rappresentazione contabile della situazione economico-finanziaria dell’impresa.
La condotta incriminata consiste nella falsificazione o omissione di informazioni rilevanti all’interno dei bilanci, delle relazioni o di altre comunicazioni sociali destinate ai soci o al pubblico. Tali atti, se finalizzati a ingannare i destinatari o a ottenere per sé o per altri un vantaggio ingiusto, violano il principio della trasparenza contabile e la corretta informazione societaria.
Il reato si fonda sull’elemento soggettivo del dolo specifico, che si manifesta nell’intento fraudolento di alterare la rappresentazione della realtà societaria, influenzando in modo distorto le decisioni di terzi (investitori, creditori, soci, ecc.). Non basta, quindi, la semplice negligenza o imperizia; è richiesta la volontà consapevole di esporre fatti non rispondenti al vero o di omettere informazioni dovute.
Particolare rilievo assume il concetto di “fatti materiali rilevanti non rispondenti al vero”, che abbraccia tanto le falsità di natura oggettiva quanto le valutazioni soggettive che si discostano gravemente dai criteri ragionevoli o dalle prassi contabili generalmente accettate.
La questione del falso in bilancio valutativo è stata a lungo dibattuta in dottrina e giurisprudenza, con una svolta significativa nella sentenza delle Sezioni Unite della Corte di Cassazione n. 22474 del 31 maggio 2016. In questa decisione, la Corte ha chiarito che il falso valutativo, pur incentrato su stime e giudizi soggettivi, può configurare reato laddove tali valutazioni siano effettuate in maniera irragionevole e tale da alterare sostanzialmente la rappresentazione della situazione patrimoniale, economica o finanziaria della società.
Le Sezioni Unite hanno infatti sancito che, affinché si configuri il reato di falso in bilancio, non è necessario che la falsità riguardi un dato oggettivo e numerico. Anche le valutazioni soggettive, se basate su criteri manifestamente inappropriati, possono avere rilevanza penale, in quanto la legge mira a garantire la veridicità sostanziale del bilancio, non limitandosi ai meri aspetti formali. In questo senso, il falso valutativo si verifica quando gli amministratori adottano parametri di valutazione che si discostano in maniera irragionevole dai principi contabili o dalla realtà economica, con il risultato di fornire una falsa immagine della solidità patrimoniale e finanziaria della società.
La decisione ha, in sostanza, confermato l’importanza del rispetto dei principi di verità e prudenza nella redazione dei bilanci, confermando che il falso valutativo rappresenta ancora oggi un profilo rilevante nella prassi giudiziaria.
Tale condotta è spesso contestata dalle procure, soprattutto nei casi in cui la discrezionalità nella valutazione degli asset aziendali viene utilizzata in modo fraudolento per mascherare difficoltà economiche o manipolare le informazioni destinate al mercato. Di conseguenza, il falso valutativo continua a costituire un terreno centrale per le indagini in ambito societario, specie in contesti di crisi o di operazioni straordinarie, come fusioni o acquisizioni.
Prevenzione del falso in bilancio valutativo e responsabilità dell’ente ex D. Lgs. 231/2001
Il reato di falso in bilancio, rientrante tra i reati societari previsti dal nostro ordinamento, costituisce uno dei presupposti per la responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001. Qualora tale reato sia commesso da soggetti apicali o subordinati nell’interesse o a vantaggio dell’ente, la società può essere chiamata a rispondere con pesanti sanzioni, soprattutto in mancanza di un modello organizzativo idoneo e dell’istituzione di un Organismo di Vigilanza (OdV) deputato al controllo. Le sanzioni applicabili in tali casi possono variare dalle sanzioni pecuniarie fino a quelle interdittive, quali l’interdizione dall’esercizio dell’attività, il divieto di contrarre con la pubblica amministrazione e la sospensione o revoca di autorizzazioni e licenze, con gravi ripercussioni sulla continuità operativa dell’impresa.
Per prevenire efficacemente la commissione di reati come il falso in bilancio, i modelli organizzativi ex D. Lgs. 231/2001 devono prevedere un complesso di protocolli decisionali e di procedure di controllo volti a ridurre la discrezionalità nella valutazione delle voci patrimoniali, garantendo la veridicità e trasparenza delle comunicazioni sociali.
La costruzione di tali modelli richiede un’analisi approfondita delle specificità dell’impresa, ma in generale è necessario che essi prevedano misure che assicurino una rigorosa aderenza ai principi contabili generalmente accettati e che i criteri di valutazione adottati siano costantemente aggiornati in conformità alle migliori prassi. È altresì fondamentale che all’interno dell’organizzazione siano predisposte procedure interne per la revisione dei bilanci e delle valutazioni da parte di soggetti indipendenti rispetto a chi ha operato le stime contabili, garantendo così una separazione funzionale tra i ruoli di chi produce e chi verifica i dati contabili.
In aggiunta, è imprescindibile che ogni valutazione patrimoniale e finanziaria venga adeguatamente documentata, affinché vi sia traccia dei criteri seguiti e delle motivazioni sottostanti, a tutela dell’azienda nel caso di contestazioni future. Un altro aspetto rilevante è rappresentato dal ruolo dell’Organismo di Vigilanza, il cui compito è quello di monitorare l’efficace attuazione dei protocolli e delle procedure interne, con particolare attenzione a quei processi che lasciano margini di discrezionalità valutativa e che potrebbero esporre l’ente a rischi di false rappresentazioni contabili.
Accanto al reato di falso in bilancio e alla responsabilità amministrativa dell’ente, altre sanzioni possono trovare applicazione in tali contesti. In particolare, il sequestro preventivo e la confisca del profitto del reato rappresentano misure ulteriori a disposizione dell’autorità giudiziaria. Inoltre, sul piano civilistico, la società potrebbe essere esposta a azioni di responsabilità promosse da soci o creditori che abbiano subito un danno a causa della falsificazione contabile o di una rappresentazione non veritiera della situazione patrimoniale e finanziaria dell’impresa. A ciò si aggiunge il rischio di danno reputazionale, con un conseguente impatto negativo sulla fiducia del mercato e degli investitori.
In conclusione, la prevenzione del falso in bilancio valutativo assume una rilevanza fondamentale non solo per evitare le sanzioni penali e amministrative previste dalla normativa, ma anche per avviare efficaci pratiche di self-cleaning in situazioni di irregolarità ereditate da precedenti gestioni aziendali. L’adozione di modelli organizzativi conformi al D. Lgs. 231/2001 e la nomina di un adeguato Organismo di Vigilanza permettono all’impresa di dimostrare la propria buona fede e l’impegno nel prevenire illeciti futuri, contribuendo così a preservare la stabilità e la continuità aziendale, nonché a ristabilire un rapporto di fiducia con i propri interlocutori economici e finanziari.
Conclusioni sul falso in bilancio: sopravvalutazioni e sottovalutazioni
Le pratiche di sopravvalutazione e sottovalutazione delle voci patrimoniali e finanziarie della società sono purtroppo fenomeni diffusi in ambito aziendale, spesso frutto di una gestione non conforme ai principi contabili o di una volontà di alterare la percezione della salute economica dell’impresa.
In molti casi, i nuovi soggetti apicali, subentrando nella guida dell’azienda, si trovano a dover fronteggiare una situazione contabile non veritiera, frutto di scelte operate dalla precedente gestione. Questi ultimi sono chiamati a recuperare un quadro realistico delle consistenze patrimoniali, operando un’attenta revisione delle valutazioni precedenti per restituire un’immagine corretta della situazione economico-finanziaria.
Il falso in bilancio valutativo, come si è visto, riveste un ruolo di particolare rilevanza e non può essere trascurato, poiché non solo altera la rappresentazione contabile della società, ma può altresì configurare ipotesi di reato penalmente rilevanti. La giurisprudenza ha chiarito come anche le valutazioni soggettive possano dar luogo a responsabilità penali, qualora effettuate con criteri palesemente irragionevoli e tali da indurre in errore i destinatari delle informazioni societarie. Pertanto, le conseguenze di una gestione errata o fraudolenta dei bilanci non si limitano alla sfera civilistica o amministrativa, ma possono estendersi al piano penale, con ripercussioni dirette sugli organi di gestione della società.
Alla luce di tali considerazioni, si evidenzia l’importanza non solo di una corretta redazione e revisione periodica del bilancio, ma anche dell’implementazione e dell’aggiornamento costante del modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001. Tale strumento costituisce una difesa fondamentale per prevenire la commissione di reati societari, tra cui il falso in bilancio, e per garantire una gestione aziendale trasparente e conforme alla normativa vigente.
In questo contesto, il ruolo di una consulenza legale specializzata in diritto penale d’impresa si dimostra cruciale per assistere l’impresa nella predisposizione di adeguati protocolli di controllo e per tutelare gli organi apicali dai rischi connessi alla responsabilità penale e amministrativa.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
da Redazione | Set 23, 2024 | Diritto d'Impresa, Diritto Penale
Modello 231 per le PMI: è davvero così importante? Il Decreto Legislativo 231/2001 ha rappresentato una rivoluzione normativa nel panorama giuridico italiano. Con esso è stata introdotta una forma di responsabilità amministrativa degli enti che si affianca alla responsabilità penale individuale delle persone fisiche. Il decreto ha colmato un vuoto del nostro ordinamento, rispondendo alle crescenti esigenze internazionali di combattere la criminalità economica e garantire che le imprese, così come gli enti non profit, rispondano dei reati commessi nel loro interesse o vantaggio da parte di dirigenti, amministratori o dipendenti.
Per effetto di tale normativa, le aziende possono essere ritenute responsabili e subire gravi conseguenze economiche e reputazionali, quali sanzioni pecuniarie, interdizioni dall’attività, revoca di licenze o concessioni, confisca dei beni e persino la sospensione delle attività aziendali, quando i reati vengono commessi a loro vantaggio.
Tuttavia, il decreto ha anche introdotto una sorta di “scudo” per le imprese, offrendo loro la possibilità di sottrarsi a tale responsabilità. In particolare, se l’impresa è in grado di dimostrare di aver adottato e attuato efficacemente un Modello di organizzazione, gestione e controllo finalizzato alla prevenzione dei reati, e di aver istituito un Organismo di Vigilanza (OdV) che sovraintende alla sua attuazione, l’azienda può evitare l’applicazione delle pesanti sanzioni previste dal decreto.
Questo articolo si propone di illustrare i motivi per cui l’adozione del Modello 231 è un adempimento fondamentale anche per le Piccole e Medie Imprese (PMI) e le start-up. Non si tratta di una formalità burocratica pensata esclusivamente per le grandi aziende, ma di uno strumento di governance che offre numerosi vantaggi pratici. Dall’aumento della competitività sul mercato alla protezione legale e reputazionale, il Modello 231 può rappresentare un elemento centrale nella strategia di crescita delle PMI.
Disciplina e requisiti normativi del Modello 231
Il Modello 231 è concepito come un insieme di regole, procedure e controlli che mirano a prevenire la commissione dei reati indicati nel D.Lgs. 231/2001. Le linee guida normative contenute negli articoli 6 e 7 del decreto specificano che l’adozione di un modello organizzativo è una condizione necessaria per poter invocare l’esimente della responsabilità amministrativa, qualora si verifichi un reato nell’ambito aziendale. Questo modello, anche se spesso redatto sulla base di linee guida, non è un documento standard: deve essere personalizzato in base alla realtà aziendale e ai rischi specifici del settore in cui opera l’impresa.
L’art. 6 del decreto stabilisce che il Modello 231 deve rispondere a determinati requisiti di idoneità. In primo luogo, deve essere in grado di identificare le attività aziendali dove è più probabile che si possano commettere reati (cosiddetta mappatura dei rischi). Questa fase è cruciale, poiché consente di avere una visione chiara dei punti critici nei processi aziendali e di individuare le aree in cui sono necessari interventi di controllo.
La normativa prevede, inoltre, l’obbligo di creare protocolli operativi che stabiliscano le modalità di gestione e di esecuzione delle decisioni all’interno dell’impresa, al fine di ridurre il rischio di condotte penalmente rilevanti.
Un altro elemento fondamentale è l’istituzione di un Organismo di Vigilanza (OdV), che deve avere autonomia e indipendenza per poter monitorare efficacemente il rispetto del modello. L’OdV è chiamato a garantire che le procedure siano applicate correttamente e che vengano adottate le necessarie misure correttive in caso di violazioni. Questo organismo, che può essere costituito sia da membri interni che esterni all’azienda, ha il compito di verificare che il modello sia aggiornato e adeguato ai mutamenti normativi o organizzativi che possono riguardare l’impresa.
Il modello deve anche prevedere un sistema disciplinare che consenta di sanzionare chiunque violi le regole e i protocolli aziendali. Questo sistema deve essere proporzionato e adeguato alle specificità aziendali, ma soprattutto effettivamente applicato, per non rimanere una mera formalità. Un ulteriore elemento richiesto dal decreto è l’adozione di un adeguato sistema di gestione delle risorse finanziarie, volto a impedire che tali risorse possano essere utilizzate per la commissione di reati.
Infine, il Modello 231 deve essere comunicato e diffuso all’interno dell’organizzazione aziendale. È obbligatorio che il personale, sia apicale che subordinato, riceva adeguata formazione sui contenuti del modello e sulle procedure da seguire. Solo una corretta conoscenza del modello e un’adeguata sensibilizzazione ai temi della legalità possono garantire la sua effettiva applicazione.
Il processo di adozione del modello segue un iter complesso, che parte dalla mappatura dei rischi, passa attraverso la stesura di protocolli specifici per le diverse aree di attività aziendale e si conclude con l’adozione formale da parte del Consiglio di Amministrazione o dell’organo dirigente.
I documenti che compongono il modello includono generalmente una Parte Generale, che descrive i principi di fondo e le linee guida normative, e una Parte Speciale, dove vengono specificate le misure di prevenzione per ciascun reato considerato rilevante per l’azienda. Un Codice Etico è spesso integrato nel modello, indicando i valori e le regole di comportamento che l’impresa si impegna a rispettare. Infine, viene predisposto un manuale disciplinare, con il quale si regolano le sanzioni interne in caso di violazione delle norme
L’importanza del Modello 231 per le PMI
Molti imprenditori, soprattutto nel contesto delle Piccole e Medie Imprese (PMI), potrebbero ritenere che l’adozione del Modello 231 sia un’operazione complessa e costosa, più adatta a grandi realtà aziendali. Tuttavia, i benefici che questo strumento può portare alle PMI sono molteplici e ne giustificano ampiamente l’adozione, soprattutto nel medio e lungo termine.
Uno dei primi vantaggi è rappresentato dal rafforzamento della fiducia da parte delle controparti contrattuali e degli stakeholder. Le PMI che adottano un Modello 231 dimostrano una maggiore trasparenza e un impegno concreto nel prevenire reati come la corruzione, la frode e il riciclaggio. Questo può migliorare notevolmente la reputazione aziendale, rendendo l’impresa più affidabile agli occhi di clienti, fornitori, banche e investitori. In un mercato sempre più attento ai temi della compliance e della sostenibilità, poter dimostrare di essere conformi alla normativa 231 rappresenta un plus competitivo di grande rilevanza. I potenziali partner commerciali vedono in queste imprese un minor rischio contrattuale, migliorando così le opportunità di affari e facilitando la creazione di relazioni commerciali solide e durature.
In secondo luogo, l’adozione del Modello 231 offre alle PMI un importante presidio della legalità nella gestione aziendale. La mappatura dei rischi e la definizione di protocolli operativi garantiscono un controllo più efficace su tutte le attività sensibili dell’impresa. Questo contribuisce a migliorare la governance interna, riducendo il rischio di condotte illecite che potrebbero compromettere l’azienda. Inoltre, la presenza di un Organismo di Vigilanza indipendente rappresenta una garanzia ulteriore che le procedure vengano rispettate e che eventuali problemi vengano affrontati tempestivamente. Tutto questo si traduce in un maggior ordine e in un monitoraggio costante delle operazioni, riducendo la possibilità che si verifichino eventi critici capaci di danneggiare l’impresa, non solo dal punto di vista legale, ma anche reputazionale.
Un altro aspetto cruciale per le PMI riguarda i vantaggi nella partecipazione a gare d’appalto. Con l’entrata in vigore del D.Lgs. 36/2023, il nuovo Codice degli Appalti, l’adozione di un Modello 231 diventa ancora più rilevante. L’articolo 94 del nuovo Codice prevede che le imprese coinvolte in determinati reati possano essere escluse dalle gare pubbliche.
Tuttavia, se l’impresa dimostra di aver adottato un Modello 231 idoneo a prevenire tali reati, l’esclusione può essere evitata; in tal senso la compliance 231 funziona come misura di self-cleaning, ossia come dimostrazione dell’efficace attuazione di misure correttive e preventive che l’azienda ha implementato per evitare futuri illeciti. Questo rappresenta un chiaro incentivo per le PMI a dotarsi di tale modello, poiché consente non solo di rispettare i requisiti di legge, ma anche di migliorare la competitività nelle commesse pubbliche.
Spesso, inoltre, le imprese che adottano il modello 231 ottengono un miglior punteggio in fase di valutazione delle offerte; ciò rende tale strumento di compliance assai attrattivo sul piano strategico nella partecipazione alle gare.
Vieppiù, l’adozione del Modello 231 può contribuire a ottenere un punteggio più alto nel Rating di Legalità, uno strumento introdotto dall’Autorità Garante della Concorrenza e del Mercato (AGCM) e destinato alle imprese che rispettano elevati standard di legalità e trasparenza. Un punteggio alto nel rating offre benefici concreti, come l’accesso agevolato a finanziamenti pubblici o privati e migliori condizioni nei rapporti con le banche. Per le PMI, che spesso incontrano difficoltà nel reperire finanziamenti, un miglior punteggio di legalità può costituire una leva fondamentale per ottenere condizioni di credito più favorevoli, migliorando così la loro capacità di crescita e sviluppo.
Un altro importante vantaggio riguarda la possibilità di creare e strutturare procedure codificate e integrate con altri sistemi di gestione aziendale, come le certificazioni di qualità (ISO 9001), sicurezza (ISO 45001) o ambientali (ISO 14001). Integrare il Modello 231 con questi altri sistemi consente alle PMI di avere un approccio più olistico nella gestione dei rischi, migliorando l’efficienza operativa e riducendo i costi legati alla conformità normativa. In questo modo, l’impresa può ottimizzare le proprie risorse, garantendo al contempo una maggiore sicurezza nei processi decisionali e operativi.
Conclusioni sul modello 231 per le PMI
In conclusione, l’adozione del Modello 231 rappresenta per le PMI una scelta strategica di primaria importanza. Non si tratta solo di adempiere a un “onere” normativo, ma di dotarsi di uno strumento efficace per migliorare la governance interna, prevenire comportamenti illeciti e rafforzare la competitività sul mercato. Attraverso la mappatura dei rischi, la creazione di protocolli operativi e il monitoraggio costante delle attività da parte dell’Organismo di Vigilanza, le imprese possono ridurre significativamente i rischi legali e reputazionali, garantendo al contempo una gestione più trasparente e sicura.
Per ottenere questi benefici, però, è fondamentale che l’adozione del modello sia accompagnata dal supporto di professionisti specializzati in diritto penale e compliance aziendale. Solo con una consulenza esperta è possibile costruire un Modello 231 realmente personalizzato sulle specifiche esigenze dell’impresa, capace di adattarsi alle peculiarità delle PMI e di integrarsi con i processi aziendali già esistenti.
Per questo abbiamo studiato una formula ad hoc per le PMI e le start-up, e siamo in grado di offrire soluzioni su misura che garantiscono un approccio pratico ed efficace alla compliance, con l’obiettivo di proteggere l’impresa e supportarla nel suo percorso di crescita e successo sul mercato.
Consulenza legale sulla responsabilità amministrativa degli enti secondo il D.Lgs. 231/2001. Lo Studio Legale D’Agostino offre supporto alle aziende per adottare modelli 231 organizzativi idonei a prevenire reati e ridurre i rischi legali.
da Redazione | Set 17, 2024 | Diritto Penale
Nella G.U. del 10 agosto 2024 è stato pubblicato il testo della Legge 114/2024, anche nota come “riforma Nordio”, entrata in vigore lo scorso 25 agosto.
La novella attua una importante revisione del sistema di giustizia penale italiano, introducendo una serie di modifiche volte a migliorare la speditezza del processo penale, a rafforzare la tutela dei diritti individuali e a ridurre l’arretrato giudiziario. Provvederemo in questa sede a una breve disamina delle modifiche introdotte nel codice penale e nel codice di procedura penale.
La riforma del diritto penale sostanziale
Con riferimento alle disposizioni di diritto penale sostanziale, la legge di riforma ha abolito il reato di abuso d’ufficio (art. 323 c.p.) e riscritto la fattispecie di traffico di influenze illecite (art. 346-bis c.p.).
Così facendo il legislatore ha notevolmente ristretto l’area del penalmente rilevante nel settore dei delitti contro la p.a., dando altresì luogo ad ampi effetti depenalizzanti ai sensi dell’art. 2, comma 2 c.p.
Per quanto riguarda il traffico di influenze illecite, ai fini della configurabilità del reato, sarà necessario – secondo la nuova formulazione – che le relazioni del mediatore con il pubblico ufficiale siano esistenti ed effettivamente utilizzate (non solo vantate); in secundis che l’utilizzazione delle relazioni avvenga “intenzionalmente allo scopo” di porre in essere le condotte esecutive del reato (dolo intenzionale); è punita la remunerazione del pubblico funzionario in relazione all’esercizio delle sue “funzioni” (e non più, anche dei suoi “poteri”).
Si punisce inoltre in via residuale la realizzazione di “altra mediazione” per tale intendendosi la mediazione «per indurre il pubblico ufficiale o l’incaricato di un pubblico servizio […] a compiere un atto contrario ai doveri d’ufficio costituente reato dal quale possa derivare un vantaggio indebito».
Infine, vengono estese al traffico di influenze illecite le due cause di non punibilità del ravvedimento post delictum di cui all’art. 323-bis c.p., e quella della volontaria denuncia del fatto di cui all’art. 323 ter c.p.
La riforma del diritto processuale penale
Tra i punti principali in materia di diritto processuale penale, vi è la modifica di alcune disposizioni sul procedimento applicativo della custodia cautelare in carcere. Si prevede l’anticipazione dell’interrogatorio di garanzia anche oltre i limiti previsti in passato, al fine di assicurare un confronto preventivo con il Gip e consentire alla difesa di addurre argomenti a sostegno dell’innocenza o comunque dell’insussistenza dei presupposti per l’adozione della misura.
In ottica garantistica, è stato individuato il giudice collegiale quale autorità competente a disporre la più grave delle misure cautelari: il comma 1-quinquies all’art. 328 c.p.p. prevede che il giudice per le indagini preliminari decida in composizione collegiale l’applicazione della misura della custodia cautelare in carcere. Analogamente sono state modificate dalla riforma le norme sull’istanza di modifica in peius (con un’interpolazione dell’art. 299, comma 2, c.p.p.) e sulla competenza funzionale a compiere l’interrogatorio preventivo (art. 291, comma 1-quinquies).
La novella di riforma è intervenuta anche sulle disposizioni del Codice di procedura penale relative agli strumenti di captazione. Il divieto di pubblicazione delle conversazioni intercettate di cui all’art. 114 c.p.p. assume portata generale, salvo il caso in cui il contenuto dell’intercettazione sia stato «riprodotto dal giudice nella motivazione di un provvedimento o utilizzato nel corso del dibattimento». Anche in caso di richiesta di copia o estratti di singoli atti, non è consentito il rilascio delle copie delle intercettazioni di cui è vietata la pubblicazione, tranne che l’istanza provenga dalle parti o dai relativi difensori.
Infine, circa l’esecuzione delle operazioni di intercettazione, la riforma Nordio ha introdotto disposizioni volte a rafforzare la tutela della riservatezza del terzo estraneo al procedimento e vietare l’acquisizione di ogni forma di comunicazione, anche diversa dalla corrispondenza, intercorsa tra l’imputato e il proprio difensore «salvo che l’autorità giudiziaria abbia fondato motivo di ritenere che si tratti di corpo del reato».
Le esigenze di tutela della riservatezza dell’indagato hanno ispirato anche la modifica dell’art. 369 c.p.p. sull’informazione di garanzia. Si prevede nello specifico che essa debba contenere la sola descrizione sommaria del fatto, e che il divieto attenuato di pubblicazione degli atti d’indagine di cui all’art. 114, comma 2, c.p.p. sia esteso anche all’informazione di garanzia, fino a che non siano concluse le indagini preliminari ovvero fino al termine dell’udienza preliminare.
Nell’ottica di una maggiore speditezza dei processi e di smaltimento dell’arretrato, sono state modificate alcune disposizioni in tema di impugnazioni. La più rilevante concerne la limitazione dei casi di appello del pubblico ministero, che non potrà appellare contro le sentenze di proscioglimento per i reati di cui all’articolo 550, commi 1 e 2 c.p.p. (trattasi di quei reati di minor allarme sociale per i quali si procede con citazione diretta a giudizio).
Trattasi di una riforma che, pur essendo animata da un generale favor rei, lascia molti punti insoluti e aspetti irrisolti.
Difesa nel processo penale – Studio Legale Luca D’Agostino, Roma.
