Sentenza BMPS: poca attenzione allo statuto giuridico dell'Organismo di vigilanza
Pubblichiamo volentieri su gentile concessione dell'Autore, Avv. Maurizio Arena, membro del nostro Comitato Scientifico.Una recente sentenza del Tribunale di Milano (II penale, depositata il 7 aprile 2021) ha condannato la Banca Monte dei Paschi di Siena ad una sanzione pecuniaria di 800mila euro per i reati di false comunicazioni sociali e manipolazione del mercato (artt. 25-ter e 25-sexies d.lg. 231/2001).La sentenza è molto ponderosa ma soltanto 9 pagine delle 359 complessive sono dedicate alla responsabilità dell’ente e, di queste, solo la metà esamina la compliance preventiva.La sentenza opera una sorta di spartiacque temporale:1 - prima dell’ottobre 2013: il modello organizzativo era stato adottato ma era inadeguato.La vera e propria colpa organizzativa viene peraltro “motivata” in poche righe, anche con un accenno all'insufficienza del sistema di controllo interno comunque esistente.Sembra che il Tribunale abbia sancito l’inidoneità del Modello sulla base della circostanza che esso sia stato successivamente aggiornato e migliorato.E questo è, purtroppo, un approccio già emerso in altri processi.A mio avviso una vicenda di aggiornamento di un Modello può costituire mero indizio nel senso dell'incompletezza della versione precedente ma tale presunta incompletezza deve essere autonomamente spiegata in sentenza.Il Giudice deve prendere posizione frontale sul tema senza ricorrere a facili presunzioni del tipo: "se il Modello è stato ampiamente integrato vuole dire che il testo di partenza non era adeguato".La motivazione avrebbe dovuto prendere posizione sui seguenti quesiti (peraltro con riferimento precipuo ai reati in contestazione): perchè difettava la mappatura delle aree a rischio? perchè non erano sufficienti i protocolli volti alla prevenzione dei reati? perchè erano insufficienti i flussi informativi in favore dell'OdV? perchè era insufficiente il sistema disciplinare?Invece si affermano sic et simpliciter tali mancanze.2 - dopo l’approvazione del Modello aggiornato ad ottobre 2013: OdV (adeguato nella composizione ma) insufficiente nell’attività di iniziativa e controllo.Nulla si dice – per questa seconda fase temporale - su tutto il resto e, in particolare, sull’idoneità/attuazione del Modello, delle procedure sulle attività sensibili, dei flussi informativi ecc.: in definitiva viene sancita la responsabilità dell’ente esclusivamente in relazione all’insufficiente vigilanza dell’OdV (la sentenza parla a proposito di “aspetto dirimente”).In effetti, il Tribunale esclude in due righe pure l'elusione fraudolenta del Modello "violato nella generalizzata e diffusa indifferenza": ma l'elusione fraudolenta dovrebbe essere considerata in relazione al contenuto precettivo del Modello e delle sue regole cautelari.Nulla di tutto ciò nel caso di specie.Si può certamente escludere l’esimente anche per la sussistenza di uno soltanto degli elementi richiesti dall’art 6: ad esempio, per omessa o insufficiente vigilanza dell’OdV.Non mi pare però che, nella sostanza, si possa parlare di colpa organizzativa: la società ha adempiuto ai suoi doveri di compliance adottando e aggiornando il Modello ed istituendo un idoneo OdV: la sentenza nulla eccepisce su tale ultimo profilo, in termini di difetto di autonomia ed indipendenza, di continuità d’azione e di competenza professionale.Tuttavia, il punto cruciale mi pare un altro.La sentenza ritiene di ravvisare una serie di presunte mancanze dell’OdV che avrebbe dovuto andare più a fondo su temi in parte già rilevati in sede ispettiva dalla Banca d’Italia e oggetto, prima, di notizie di stampa e, poi, di contestazione giudiziaria.Appartengono senza dubbio alla best practice in tema di svolgimento delle funzioni di OdV i seguenti adempimenti: