07 Ott Aggiornamenti in materia di compliance, luglio/settembre 2024
Indice
- Aggiornamenti 231
- Aggiornamenti Whistleblowing
- Aggiornamenti governance
- Aggiornamenti privacy
- Approfondimenti
Aggiornamenti 231
(i) La L. n. 112/2024 ha introdotto un nuovo reato nel Codice Penale, che è altresì entrato di diritto nel novero del catalogo dei reati-presupposto di cui al D. Lgs. 231/2001.
È stata pubblicata in Gazzetta Ufficiale la Legge 112/2024 di conversione, con modifiche, del DL 92/2024 recante “Misure urgenti in materia penitenziaria, di giustizia civile e penale e di personale del Ministero della giustizia” che ha introdotto un nuovo reato nel Codice penale nonché nel novero dei reati presupposto della responsabilità amministrativa degli enti.
Si tratta del reato di indebita destinazione di denaro o cose mobili, che va ad inserirsi tra i delitti contro la pubblica amministrazione all’art. 314-bis c.p. e che così recita:
“Fuori dei casi previsti dall’articolo 314, il pubblico ufficiale o l’incaricato di un pubblico servizio, che, avendo per ragione del suo ufficio o servizio il possesso o comunque la disponibilità di denaro o di altra cosa mobile altrui, li destina ad un uso diverso da quello previsto da specifiche disposizioni di legge o da atti aventi forza di legge dai quali non residuano margini di discrezionalità e intenzionalmente procura a sé o ad altri un ingiusto vantaggio patrimoniale o ad altri un danno ingiusto, è punito con la reclusione da sei mesi a tre anni. La pena è della reclusione da sei mesi a quattro anni quando il fatto offende gli interessi finanziari dell’Unione europea e l’ingiusto vantaggio patrimoniale o il danno ingiusto sono superiori ad euro 100.000”.
Il c.d. “Decreto Carceri” ha inserito la nuova fattispecie anche tra i reati presupposto della responsabilità amministrativa dell’ente previsti dall’art. 25 D.lgs. 231/2001.
Le società dotate di Modello Organizzativo dovranno dunque valutare la rilevanza della modifica normativa rispetto al proprio sistema organizzativo ed eventualmente aggiornare il documento.
(ii) La legge sulla Cybersicurezza e le ripercussioni in materia 231
Legge n. 90/2024
La Legge sulla Cybersicurezza interviene anche sul catalogo dei reati presupposto in materia di responsabilità amministrativa degli enti, contemplati nel decreto legislativo n. 231 del 2001. In particolare, il legislatore:
- Ritocca il contenuto dell’articolo 24-bis relativo ai reati informatici, aumentando le sanzioni previste all’interno del suo comma 1, le quali passano da una cornice edittale ricompresa tra cento e cinquecento quote, ad una ricompresa tra duecento e settecento quote.
- Aggiunge all’ articolo 24-bis il nuovo comma 1-bis, ai sensi del quale si applica all’ente la sanzione pecuniaria da trecento a ottocento quote a seguito della commissione della nuova fattispecie di reato –introdotta sempre dalla Legge sulla Cybersicurezza – legata all’estorsione informatica di cui all’ articolo 629, comma 3, del codice penale. Nei casi di condanna, inoltre, è prevista anche l’applicazione delle sanzioni interdittive previste dall’ articolo 9, comma 2, del decreto legislativo n. 231/2001, per una durata non inferiore a due anni.
Appare evidente come il legislatore, attraverso il combinato disposto del comma 3 dell’articolo 629 del codice penale e del comma 1-bis dell’articolo 24-bis del decreto legislativo n. 231/2001, tenti di limitare la piaga estorsiva discendente, anzitutto, dagli attacchi informatici di tipo ransomware, provando a creare anche un argine al dilagare dei pagamenti dei riscatti richiesti dalle organizzazioni criminali.
In particolare, seppure l’introduzione nel nostro ordinamento del reato di estorsione informatica debba essere accolto con estremo favore, in quanto teso a punire con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000 “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno”, non si può tralasciare come a tale novella del codice penale debba seguire una più articolata strategia del governo italiano per il pieno contrasto a tali fattispecie di reato. Ciò, in quanto tale norma – seppur utile – difficilmente potrà modificare da sola lo scenario criminale legato agli attacchi ransomware nei confronti dell’Italia, che vede agire – nella quasi totalità dei casi – soprattutto soggetti al di fuori dei nostri confini nazionali.
Il medesimo ragionamento vale anche per quanto previsto al comma 1-bis dell’articolo 24-bis del decreto legislativo n. 231/2001, il quale, nei fatti, introduce correttamente la responsabilità amministrativa dell’ente, unitamente alle discendenti sanzioni interdittive personali, ma solo nel caso in cui, semplificando, il reato di estorsione informatica sia commesso da un soggetto appartenente all’ente stesso. Un’ipotesi, questa, certamente possibile e, quindi, senz’altro da regolamentare, ma che nella quotidianità dei reati informatici appare forse come un “caso limite” e che, purtroppo, potrebbe avere poco impatto sul dilagare – soprattutto nel mondo privato – dei pagamenti di riscatti a seguito di attività estorsive condotte, ad esempio, attraverso attacchi ransomware.
- Modifica il comma 2 dell’ articolo 24-bis, relativo alla commissione dei delitti di cui agli articoli 615-quater (“Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici e telematici”) e 615-quinquies (“Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”) del codice penale, innalzando la sanzione pecuniaria ivi prevista sino a quattrocento quote.
- Sostituisce tra i reati presupposto per i quali è prevista l’applicazione all’ente della sanzione pecuniaria di cui al precede al punto 3. il riferimento all’ articolo 615-quinquies c.p., abrogato proprio dalla Legge sulla Cybersicurezza, con il richiamo al nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico di cui all’ articolo 635-quater.1.
(iii) La non implicita derogabilità della delega di funzioni in materia di salute e sicurezza sul lavoro.
Consiglio di Stato, parere n. 814/2024
Il Consiglio di Stato ha chiarito che la delega di funzioni in materia di salute e sicurezza sul lavoro, conferita nei limiti previsti dall’art. 16 Testo Unico Sicurezza sul Lavoro, una volta scaduta, non può considerarsi implicitamente prorogata.
La delega di funzioni è considerata “un atto derogatorio del normale sistema di ordine e di distribuzione delle competenze”, che necessita di una conferma esplicita per la sua continuazione oltre la scadenza originaria. Ne consegue la necessità di una gestione accurata delle deleghe.
(iv) Patteggiamento in ambito 231: nell’accordo delle parti deve essere contemplata anche la confisca.
Corte di Cassazione, VI Sez., n. 30604/2024
La pronuncia ha sovvertito il principio di diritto tralatiziamente affermato in giurisprudenza secondo il quale non rileva che la confisca sia stata o meno oggetto dell’accordo, l’obbligatorietà della confisca fa sì che essa debba sempre essere applicata dal giudice, sempreché, ovviamente, sussista il profitto del reato.
Di converso, è stato ritenuto che una lettura sistematica dell’istituto del patteggiamento impone di estendere l’accordo delle parti a tutte le sanzioni che vanno a formare il trattamento sanzionatorio ex art. 9 D. Lgs. 231/2001, compresa la confisca, non essendovi alcuna ragione che giustifichi l’esclusione della stessa, la quale, peraltro, nel sistema della responsabilità da reato degli enti è sanzione principale per l’ente.
Nel caso di definizione del giudizio con l’applicazione della pena, le parti dovranno ricomprendere nell’accordo non solo la sanzione pecuniaria e, se prevista, quella interdittiva, in relazione alle quali dovrà applicarsi la riduzione premiale per il rito, ma anche la determinazione, nell’an e nel quantum, della confisca, trattandosi di sanzione principale, in relazione alla quale non è prevista alcuna espressa esclusione dall’accordo sulla base dell’art. 63 D. Lgs. 231/2001”. Aggiungono, infine, che “una volta raggiunto l’accordo, spetterà al giudice verificare non solo l’adeguatezza delle sanzioni pecuniarie e interdittive, ma anche la corrispondenza della confisca concordata al profitto dell’illecito effettivamente conseguito, al netto delle eventuali restituzioni in favore del danneggiato, come previsto dall’ art. 19, comma 1, D. Lgs. 231/2001. Qualora il giudice ritenga non corretto l’accordo in ordine alla confisca, dovrà rigettare in toto la richiesta di patteggiamento”.
(v) La cancellazione della società dal registro delle imprese equivale alla morte del reo, determinando la conseguente estinzione dell’illecito amministrativo alla stessa contestato.
Corte di Cassazione n. 25648 del 13 febbraio 2024
Chiamata a decidere sul caso in esame, la Suprema Corte ha sovvertito l’orientamento fino a quel momento prevalente ampliando i limiti per l’applicabilità del regime di cui all’art. 150 c.p. al caso di cancellazione della persona giuridica, includendovi – per le ragioni che si andranno a esporre nel proseguo – anche le ipotesi di estinzione patologica e dunque fraudolenta dell’impresa.
Il motivo di tale overrulling va individuato nella riforma delle società di capitali e cooperative avvenuta con il D.lgs. n. 6/2003, con cui la cancellazione ha assunto effetti costitutivi dell’estinzione irreversibile della società, ai sensi dell’art. 2495 co. 2 c.c., anche in presenza di debiti rimasti insoddisfatti e di rapporti non definiti. In particolare, analizzando la ratio di tale norma, è possibile dedurre che la cancellazione dal registro delle imprese comporti il venir meno della persona giuridica e, conseguentemente, la possibilità di estendere nei suoi confronti, ai sensi dell’art. 35 D.lgs. 231/01, le disposizioni riguardanti l’imputato, generandosi così gli stessi effetti che derivano dalla morte del reo.
Il diverso orientamento, secondo la Corte, non spiegherebbe infatti l’inutilità delle sanzioni sia interdittive che pecuniarie qualora vengano inflitte ad un soggetto estinto e dunque inesistente sotto il profilo civilistico. Non sarebbe infatti possibile perseguire le funzioni, rispettivamente, di favorire l’adeguamento al sistema normativo e di colpire la disponibilità economica dell’ente necessaria per la sua operatività nel mondo giuridico, nell’ipotesi in cui il soggetto destinatario delle sanzioni interdittive e pecuniarie sia ormai non più esistente.
“La sopravvivenza della società cancellata dal registro delle imprese ai soli effetti penali, da un lato, determinerebbe l’applicazione di sanzioni inattuabili, dall’altro finirebbe per gravare, in sede esecutiva, su soggetti terzi rispetto all’ente responsabile della violazione, persino con il pericolo della duplicazione di sanzioni a carico di questi, tanto da far retrocedere l’argomento della tassatività (o eccezionalità) delle cause estintive degli illeciti”.
Aggiornamenti Whistleblowing
(i) La tutela del dipendente pubblico che segnala illeciti.
La normativa di tutela del dipendente pubblico che segnala condotte illecite di cui è venuto a conoscenza nel contesto lavorativo, ex art. 54-bis del d.lgs. n. 165 del 2001 ratione temporis applicabile (c.d. “whistleblowing“), non può essere estesa fino a ricomprendere improprie attività investigative poste in essere dal lavoratore, in violazione dei limiti di legge, per raccogliere prove di illeciti nell’ambiente di lavoro, né può riconoscersi efficacia scriminante alle segnalazioni effettuate per scopi essenzialmente di carattere personale o per contestazioni o rivendicazioni inerenti al rapporto di lavoro nei confronti dei superiori.
Dunque, se la normativa a tutela del dipendente segnalante salvaguarda il medesimo da sanzioni disciplinari o da reazioni ritorsive conseguenti alla sua denuncia, essa non costituisce un’esimente per gli autonomi illeciti che egli abbia commesso.
(ii) Il whistleblower va tutelato anche se denuncia l’ex collega dopo che ha lasciato il lavoro.
Corte EDU, 27 agosto 2024
La Corte EDU nella sentenza H.H. c/ Armenia (ric. 15028/16) a statuito che la tutela contro eventuali ritorsioni si estende anche al periodo successivo alla cessazione del rapporto di lavoro, includendo anche i casi in cui l’informatore denunci coloro che sono ormai ex colleghi.
Aggiornamenti governance
(i) L’omessa rendicontazione annuale per oltre dieci anni rappresenta sia una violazione degli obblighi dell’amministratore che un inadempimento grave da parte del socio tale da rendere più difficile il conseguimento dello scopo sociale che è quello di esercitare l’impresa collettiva allo scopo di dividere gli utili conseguiti, e da giustificare l’esclusione dalla società.
Corte di Cassazione, I Sez. Civ., 10 giugno 2024, n. 16043
Nelle società di persone il cumulo delle qualifiche di socio e di amministratore non impedisce che le irregolarità o illiceità commesse dal solo amministratore determinino non solo la relativa revoca dalla carica, ma anche l’esclusione del socio per violazione dei doveri previsti dallo statuto a tutela della finalità e degli interessi dell’ente.
Invero, nelle società di persone non opera la struttura organicistica, propria delle società di capitali, in cui l’ente agisce per il tramite di organi diversi e distinti dai soci, con compiti e responsabilità altrettanto diversificati.
Mentre nelle società di capitali la violazione dei doveri da parte dei diversi organi è affidata a ipotesi diverse e giuridicamente distinte tra loro, nelle società di persone (con la sola esclusione della Sas per la caratteristica tipologica inerente all’esistenza di due categorie distinte di soci) la violazione dei doveri del socio può essere dedotta da comportamenti che minino l’affectio societatis sia in relazione ad atti di disposizione uti socius che da atti posti in essere nell’esercizio di funzioni gestorie o di controllo, parimenti rinvenibili in automatico nel patrimonio giuridico di tutti i soci.
Aggiornamenti privacy
(i) Cyber sicurezza: tutti gli adempimenti delle P.A. e delle società private.
La Legge n. 90/2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (per semplificare, “Legge sulla Cybersicurezza”), ha come obiettivo quello di iniziare l’ordinamento al mondo della cybersecurity in modo armonizzato rispetto alla normativa interferente con essa.
I soggetti destinatari di tale normativa sono principalmente:
(a) le Pubbliche Amministrazioni, così descritte:
- le pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni previsto dall’ articolo 1, comma 3, della legge di contabilità e finanza pubblica (legge n. 196 del 2009);
- le regioni e le province autonome di Trento e di Bolzano;
- e città metropolitane (e quindi, Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli, Reggio Calabria, a cui si deve aggiungere Roma Capitale e, per le regioni a statuto speciale, Cagliari, Sassari, Catania, Messina e Palermo, oltre all’ente della città metropolitana del Friuli-Venezia Giulia);
- i comuni con popolazione superiore a 100.000 abitanti;
- i comuni capoluoghi di regione;
- le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
- le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
- le aziende sanitarie locali;
- le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.
(b) i soggetti privati.
Per quanto concerne il mondo della Pubblica Amministrazione, ai soggetti ad essa appartenenti sono prescritti dalla Legge quattro adempimenti necessari:
- Dotarsi, ove non sia già presente, di una struttura per la cybersicurezza, anche fra quelle già esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Tale struttura, che può essere individuata anche in quella dell’ufficio del responsabile per la transizione al digitale, deve provvedere a:
(a) lo sviluppo di politiche e procedure di sicurezza delle informazioni;
(b)la produzione e l’aggiornamento di un piano per il rischio informatico, nonché di sistemi di analisi preventiva di rilevamento del rischio informatico;
(c) la produzione e l’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;
(d) la pianificazione e l’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, a partire dalla produzione dei piani precedentemente elencati;
(e) la pianificazione e l’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la Cybersicurezza Nazionale;
(f) il monitoraggio e la valutazione continua delle minacce alla sicurezza e alla vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.
2. Istituire la figura del referente per la cybersicurezza, il quale deve essere individuato in ragione delle sue specifiche professionalità e competenze possedute nella materia della cybersicurezza.
3. Segnalare gli incidenti di cui all’art. 1 D. L. n. 105/2019. Il legislatore italiano prevede che le pubbliche amministrazioni poc’anzi richiamate debbano notificare tali incidentiutilizzando le procedure disponibili sul sito internet dell’Agenzia per la Cybersicurezza Nazionale e osservando i seguenti termini:
a. massimo 24 ore, calcolate dal momento in cui la pubblica amministrazione sia venuta a conoscenza dell’incidente, per svolgere una prima segnalazione;
b. massimo 72 ore, calcolate dal momento in cui la pubblica amministrazione sia venuta a conoscenza dell’incidente, per svolgere la notifica completa, comunicando tutti gli elementi informativi disponibili.
In caso di inosservanza di tale obbligo, l’Agenzia per la Cybersicurezza Nazionale invierà una comunicazione all’operatore, avvisando che il reiterato inadempimento nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000euro a un massimo di 125.000 euro. Tale violazione, inoltre, può anche costituire causa di responsabilità disciplinare e amministrativo-contabile nei confronti dei funzionari e dei dirigenti responsabili.
4. Provvedere tempestivamente all’adozione degli interventi risolutivi indicati dall’Agenzia per la Cybersicurezza Nazionale, nel caso in cui essa segnali specifiche vulnerabilità cui le pubbliche amministrazioni interessate dalla legge in commento risultino potenzialmente esposte. I destinatari di tali segnalazioni devono provvedere senza ritardo – e comunque non oltre15 giorni dalla ricezione della comunicazione – all’adozione di tali interventi.
In caso di mancata o ritardata adozione, anche in questo caso l’Agenzia per la Cybersicurezza Nazionale invierà una comunicazione alla pubblica amministrazione inadempiente, avvisandola che la reiterazione di tale omissione nell’arco di 5 anni comporterà l’applicazione della sanzione amministrativa pecuniaria da un minimo di 25.000euro a un massimo di 125.000 euro. Tuttavia, specifica il legislatore, la sanzione può non essere applicata nel caso in cui vengano tempestivamente comunicate all’Agenzia per la Cybersicurezza Nazionale le motivate esigenze di natura tecnico-organizzativa che impediscano l’adozione degli interventi risolutivi indicati o ne comportino il differimento oltre il termine di 15 giorni.
Approfondimenti
(i) La UIF – Unità di Informazione Finanziaria- ha proposto la redazione di un sistema di indicatori di anomalia al fine di individuare tempestivamente e quantificare il rischio di potenziali condotte corruttive nell’ambito degli appalti pubblici
Con lo Studio n. 23 della serie Quaderni dell’antiriciclaggio pubblicato nel settembre 2024 e intitolato “Corruption risk indicators in public procurement: a proposal usign italian open data” la UIF ha proposto l’elaborazione di un sistema di indicatori di rischio volti ad individuare e a quantificare il rischio corruttivo nell’ambito delle gare pubblico al fine di “contribuire al rafforzamento delle misure di prevenzione e contrasto alla corruzione e al riciclaggio, migliorando le capacità delle istituzioni di identificare e mitigare i rischi associati a condotte illecite nel settore degli appalti pubblici”.
Prendendo l’abbrivio dai dati pubblici dell’ANAC relativi alle gare pubbliche in Italia tra gennaio 2018 e giugno 2023, sono stati configurati dodici indicatori analitici che identificano caratteristiche specifiche delle singole gare d’appalto o del processo di aggiudicazione del contratto e che permettono di segnalare una potenziale vicinanza a contesti corruttivi.
Gli indicatori in questione hanno preso in considerazione, con particolare attenzione, le seguenti aree ritenute “a rischio”:
- il monitoraggio delle gare pubbliche;
- la classificazione delle autorità appaltanti;
- la classificazione delle imprese appaltatrici in base al rischio;
- il contributo alle attività investigative e antiriciclaggio.
Da una prima elaborazione dei dati suddetti operata dalla UIF è emerso che le gare che presentano il valore dell’indicatore più elevato (ossia le gare con il più alto rischio di corruzione) sono quelle relative alle gare pubbliche inette nei settori speciali e per le forniture di prodotti.
Lo studio, poi, prende in considerazione un ulteriore dato significativo, ossia l’elevato numero di omesse comunicazioni all’ANAC da parte delle stazioni appaltanti. Tale condotta omissiva si è registrata in maniera particolarmente frequente nell’ambito delle stazioni appaltanti di piccole dimensioni collocate nelle regioni del Sud dell’Italia e nelle Isole. Tale dato ha determinato la conseguente sottostima del rischio nelle suddette aree, così individuando un fattore che rischia di falsare la misurazione del rischio.
Con particolare riguardo ai riflessi che tale nuovo assetto può implicare in relazione all’impiego nell’ambito dell’autoriciclaggio, v’è da osservare che la raccolta dei dati aggregati mediante gli indicatori consente di elaborare una mappatura dei rischi sia territoriale che settoriale, individuando territori e settori ai quali prestare particolarmente attenzione. Ciò in quanto il rischio corruttivo è spesso correlato agli ambienti di criminalità organizzata, servendosi di una minor concorrenza in fase di gara, e successivamente di una minore trasparenza nella fase successiva all’aggiudicazione, oltre ad un esercizio più massiccio dei poteri discrezionali delle stazioni appaltanti.
Ne consegue che gli indicatori di rischio consentirebbero di incrementare la trasparenza e di ridurre il rischio di infiltrazione da parte della criminalità organizzata nel mondo degli appalti.
a cura dell’Avv. Simona Durazzo