Da una prima lettura del “Position Paper Confindustria – Marzo 2025” sulla riforma della responsabilità amministrativa degli enti (D.Lgs. 231/2001), emergono alcuni spunti condivisibili e assolutamente interessanti.
Mi riferisco in particolare alle osservazioni su:
- ambito applicativo in relazione ai soggetti interessati dalla legge ed alle fattispecie di reato;
- prescrizioni per i modelli organizzativi “ante delictum” e “post delictum” per le condotte riparatorie.
- Per quanto riguarda l’ambito applicativo soggettivo e oggettivo, Confindustria propone di:
- Razionalizzare il catalogo dei reati presupposto, evitando inclusioni automatiche di nuove fattispecie penali;
- Escludere le microimprese (meno di 10 dipendenti e 2 mln € di fatturato) dal perimetro della 231, prevedendo eventualmente MOG semplificati su base volontaria;
- Prevedere una disciplina specifica per i gruppi societari, chiarendo le condizioni per la “risalita” della responsabilità alla holding.
- Per quanto riguarda i modelli organizzativi ante delictum e post delictum per le condotte riparatorie, Confindustria propone invece quanto segue.
Modelli ante delictum:
- Definire normativamente il contenuto del MOG e le fasi del processo di risk assessment e gestione del rischio.
- Attribuire valore legale ai Codici di comportamento delle associazioni (es. Confindustria), se approvati dal Ministero della Giustizia.
- Integrare MOG con sistemi di gestione certificati (es. sicurezza, qualità, ecc.).
Modelli post delictum (condotte riparatorie), propone invece di:
- Introdurre meccanismi premiali per incentivare comportamenti riparatori e collaborazione volontaria dopo il reato.
- Garantire che gli atti di riparazione non pregiudichino la reputazione dell’impresa (es. nessuna menzione nel casellario).
Infine, propone alcuni orientamenti rispetto alle garanzie e ai diritti processuali:
- Onere della prova: va posto sempre a carico dell’accusa, anche per reati commessi da apicali;
- Sanzioni interdittive e misure cautelari: rivedere i criteri applicativi alla luce del principio di proporzionalità e delle conseguenze economiche e sociali;
- Prescrizione: allineare il regime a quello penale per le persone fisiche, evitando effetti dilatori o imprescrittibilità di fatto;
- Causa di non punibilità: estendere alle persone giuridiche istituti come:
- l’estinzione del reato per pagamento del debito tributario,
- la particolare tenuità del fatto;
- Estendere il diritto al silenzio a tutti i soggetti in immedesimazione organica con l’ente;
- Garantire al legale interno dell’ente le stesse tutele del difensore ex art. 103 c.p.p.;
- Rafforzare il coordinamento tra giudizi (penali, tributari, civili/lavoristici), per evitare decisioni contraddittorie sui medesimi fatti e assicurare certezza del diritto.
La parte più “viva” e “dinamica” delle proposte è senz’altro quella relativa al risk assessment, diventato argomento privilegiato delle Procure, che lo ritengono il documento da cui origina tutto il modello, costituendone parte fondante e determinante, tanto da caldeggiarne l’inserimento integrale nella parte speciale.
Nella sua espressione sintetica, il processo di risk assessment ideale comprende le seguenti fasi:
Fase 1: analisi preliminare dei reati fattispecie contigui al contesto aziendale
Fase 2: classificazione delle fattispecie contigue in fattispecie da assoggettare a risk assessment e fattispecie da monitorare
Fase 3: esecuzione del risk assessment sulle fattispecie selezionate con valutazione del rischio inerente e del rischio residuo
Fase 4: determinazione delle azioni di rimedio necessarie per abbassare il rischio residuo
Fase 5: redazione del piano di rimedio
Fase 6: inserimento del piano di rimedio nel piano di audit per le opportune verifiche periodiche sullo stato di avanzamento delle azioni di rimedio.
Di seguito una rappresentazione in diagramma del processo:
CompliWare esegue il risk assessment con impiego di algoritmi di Intelligenza Artificiale come segue:
Fase 1: interazione con IA e ‘’prompt’’ engineering sul contenuto del D.Lgs. 231 del 2001 chiedendo all’IA di migliorare il suo grado di apprendimento imparando anche da tutto il materiale disponibile in rete
Fase 2: interazione con IA e ‘’prompt’’ engineering relativamente alla valutazione del rischio inerente e del rischio residuo con riferimento alle fattispecie di reato 231
Fase 3: interazione con IA per apprendimento del contesto aziendale di valutazione dei rischi
Fase 4: abbiamo chiesto all’algoritmo di generare specifiche check-list con le informazioni a lui necessarie per poter valutare detti rischi con riferimento a realtà specifiche
Fase 5: abbiamo applicato le check-list generate alle realtà aziendali soggette a risk assessment
Fase 6: preparazione del ‘’prompt’’ di IA sulla base delle risposte ricevute
Fase 7: abbiamo caricato le checklist nel prompt di IA predisposto
Fase 8: generazione da parte dell’algoritmo (per ogni azienda):
- dei contesti di valutazione per ciascun singolo reato;
- delle valutazioni di rischio inerente e residuo per ciascun contesto (valutazione di primo livello);
- della valutazione mediata per ciascun reato in base alla probabilità di avvenimento ed all’impatto di un eventuale incidente (valutazione di secondo livello).
Fase 9: generazione da parte dell’algoritmo delle azioni di rimedio con distinzione tra urgenti, prioritarie e secondarie
Fase 10: periodicamente, ripetizione di tutto il processo di risk assessment con storicizzazione dei dati dei risk assessment precedenti.
Di seguito una rappresentazione in diagramma del processo:
Add comment