La commissione di uno dei reati-presupposto non è sufficiente per determinare la responsabilità dell’azienda.
Essa, infatti, risponde solo se non ha adottato e attuato efficacemente un modello organizzativo di gestione e controllo prima della commissione del reato (il c.d. MOG o modello 231).
Il MOG diventa il cardine dell’intero sistema 231 che consente all’impresa di non incorrere in responsabilità da reato anche qualora uno dei reati-presupposto dovesse essere malauguratamente commesso nell’ambito dell’attività imprenditoriale.
Il MOG è un documento calibrato sull’attività concretamente svolta dall’azienda che individua delle procedure di lavoro e dei protocolli d’azione che tutti i lavoratori e gli amministratori devono tenere nello svolgimento dell’attività idonei a prevenire il rischio di commissione di uno dei reati-presupposto.
Nell’elaborazione del MOG, l’impresa deve, in primo luogo, analizzare la sua attività e mappare i rischi di commissione dei reati nell’ambito della stessa.
Facciamo qualche esempio: un’impresa che si occupa di trasporto di sostanze pericolose o di rifiuti valuterà come prevalente il rischio di commissione di reati ambientali; un’impresa edile, invece, vedrà prevalere il rischio di reati legali alla sicurezza sul lavoro e così via.
In seconda battuta, sulla base dell’analisi dei rischi di reato e delle diverse esposizioni a tale rischio in relazione all’attività aziendale, il MOG dovrà prevedere protocolli e regole di comportamento per evitare i reati a rischio, ovvero le procedure da adottare nello svolgimento dell’attività d’impresa per scongiurare la commissione del reato .
Per garantire che i protocolli d’azione individuati nella parte speciale vengano attuati, il MOG deve necessariamente prevedere una serie di sanzioni disciplinari non solo a carico dei sottoposti ma anche e soprattutto a carico dei dirigenti in caso di violazione del modello stesso.
Inoltre, a presidio del MOG deve essere previsto un organismo di vigilanza (c.d. ODV) che verifichi il rispetto del modello, proponga eventuali aggiornamenti e applichi le sanzioni disciplinari.
Per escludere la responsabilità dell’impresa, il MOG non deve essere un documento fine a se stesso o che impieghi formule standard ma deve essere cucito su misura dell’azienda, in relazione alla sua struttura e al tipo di attività svolta, deve essere diffuso e fatto conoscere a tutti i lavoratori e deve essere attuato dai sottoposti e dagli apicali, devono essere irrogate sanzioni disciplinari qualora le prescrizioni del modello venissero disattese e devono essere avviati dei controlli periodici per verificare la concreta attuazione ed efficacia del MOG (audit).
Solo un modello 231 adeguato, concreto, attuato e monitorato può escludere la responsabilità da reato dell’impresa.
Qualora l’impresa già sia dotata di sistemi di gestione in materia di sicurezza sul lavoro, ambiente, qualità o simili, il MOG può recepire tali sistemi, farli propri ed eventualmente integrarli con le attenzioni dovute ai rischi di reato, senza dover stabilire da zero protocolli d’azione aggiuntivi e diversi rispetto a quelli già esistenti.
Posto quanto sopra, modelli meramente astratti, standardizzati o non attuati sono ritenuti dalla giurisprudenza del tutto inadatti e comportano piena responsabilità in capo all’ente.