La sentenza n. 3314/2023 del Tribunale di Milano nel caso Johnson & Johnson Medical S.p.A.

Colpa di organizzazione e culpa in vigilando

[Torna su]

Nell'ambito del sistema 231 l'ente è chiamato a rispondere a titolo di colpa di organizzazione.

Questa può anche tradursi in intenzionale disorganizzazione: l'ente, cioè, deliberatamente, sceglie di non adottare il modello organizzativo che, è noto, non costituisce un obbligo per le imprese, bensì un onere e, per certi versi, un'opportunità.

L'art. 6 d.lgs. 231/01 disciplina la responsabilità dell'ente dipendente dall'illecito commesso da soggetti apicali, persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (cfr. art. 5 comma 1 lett. a) d.lgs. 231/01).

Quanto alla responsabilità dell'ente per fatto commesso da soggetto sottoposto alla direzione o alla vigilanza dei predetti apicali (cfr. art. 5 comma 1 lett. b) d.lgs. 231/01), invece, essa rinviene la propria disciplina nel successivo art. 7 d.lgs. 231/01.

Ai sensi dell'art. 7 comma 1, la responsabilità dell'ente per il fatto illecito del sottoposto è ancorata all'inosservanza degli obblighi di direzione e vigilanza che abbia reso possibile la realizzazione del reato presupposto.

Ed è proprio quest'ultimo il tema della recente sentenza n. 3314/2023 emessa il 06.03.2023 (depositata il 23.05.2023) dal Tribunale di Milano in composizione collegiale, Sezione X Penale, qui menzionata.

Il caso Johnson & Johnson Medical S.p.A. ha costituito occasione per chiarire che la culpa in vigilando, che, come detto, costituisce il presupposto della responsabilità dell'ente per fatto commesso dal soggetto non apicale, non richiede necessariamente una condotta colposa del soggetto - persona fisica - controllore, potendo anch'essa essere espressione di quella colpa di organizzazione che è una forma di colpa impersonale propria della persona giuridica e direttamente riferita all'organizzazione collettiva, pur quando "innervata […] di condotte inadeguate di individui sovraordinati ai sottoposti cui è ascritto il reato".

L'unitarietà del modello

[Torna su]

Si badi: gli obblighi di direzione e vigilanza possono anche prescindere dall'adozione di un Modello di organizzazione, gestione e controllo (di seguito anche solo Modello o MOG per comodità). Tuttavia, se l'ente lo ha adottato, tali obblighi devono ritenersi "inglobati" e formalizzati nel Modello stesso: ai sensi del comma 2 dell'art. 7, l'adozione e l'efficace attuazione del Modello prima della commissione del reato è, anzi, causa di esclusione di responsabilità dell'ente, spostandosi, poi, l'attenzione sull'idoneità del MOG a prevenire reati della specie di quello verificatosi, in uno alla verifica in ordine all'efficace attuazione del Modello.

Valga, comunque, precisare che, laddove l'ente abbia optato per l'adozione del Modello, questo è unitario e destinato a prevenire tanto i reati dei soggetti apicali, quanto quelli dei loro sottoposti.

Del resto, non sussistono significative differenze - in tema di valutazione di idoneità e di efficace attuazione del MOG - tra il regime previsto dall'art. 6 in relazione alla responsabilità per fatto degli apicali e quello dettato dall'art. 7 in relazione al reato commesso dai soggetti sottoposti.

Infatti, i commi 3 e 4 dell'art. 7 non introducono certo il concetto di un MOG diverso da quello richiamato dall'art. 6, né parametri diversi per la valutazione di idoneità ed efficace attuazione del Modello.

Ai sensi dell'art. 7 comma 3, precisamente, il Modello deve prevedere misure idonee a garantire lo svolgimento dell'attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio: la relativa idoneità si misura in relazione alla natura e alla dimensione dell'organizzazione di riferimento nonché al tipo di attività svolta.

Analogamente, l'art. 6 comma 2 lett. b) dispone che il MOG debba prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire.

Misure o protocolli? Si tratta, con tutta evidenza, di una differenza meramente lessicale. In entrambi i casi, lo scopo è unitario: la prevenzione del rischio di commissione dei reati presupposto.

Del pari, anche la valutazione dell'efficace attuazione del Modello non varia nell'assetto dettato dall'art. 7 rispetto a quanto previsto dall'art. 6.

Nello specifico, il comma 4 dell'art. 7 indica quali strumenti per tale positiva valutazione: a) una verifica periodica con eventuale modifica del Modello allorché siano scoperte significative violazioni delle prescrizioni o intervengano significativi cambiamenti nell'organizzazione o nell'attività dell'ente; b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle prescrizioni.

In modo del tutto simmetrico, l'art. 6 comma 1 lett. b) prescrive l'istituzione di un organismo (Organismo di Vigilanza) chiamato a vigilare sul funzionamento e sull'osservanza del Modello ed a curare il relativo aggiornamento; al comma 2 lett. e) prevede, poi, che il MOG contempli un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel MOG stesso.

D'altro canto, la giurisprudenza di legittimità ha specificato che "nel procedimento a carico dell'ente […] laddove sia contestata la mancata adozione e attuazione di modelli organizzativi, i presupposti normativi della responsabilità dell'ente per fatto del soggetto sottoposto all'altrui direzione e vigilanza differiscono da quelli della responsabilità per fatto del soggetto apicale solo allorché sia dimostrata l'adozione di misure cautelari idonee a prevenire i reati dei sottoposti, ancorché non formalizzati in un modello, dovendosi in tal caso provare, al fine di affermare la responsabilità dell'ente, che il fatto sia stato propiziato dall'inosservanza del dovere di direzione e vigilanza da parte dei soggetti apicali". (Cass. Pen. VI, n. 54640/2018).

Il caso Johnson & Johnson

[Torna su]

Ebbene, nel caso sottoposto all'attenzione del Tribunale meneghino qui in discorso, la Pubblica Accusa ha portato ad evidenza l'aspetto testé menzionato, con particolare riguardo: 1) alle azioni degli altri (rispetto agli autori del reato) soggetti contemplati dai protocolli e dalle procedure rilevanti nelle singole vicende ed all'impatto di tali azioni nell'agevolare la consumazione del reato; 2) alle omissioni ascrivibili ai medesimi soggetti, a fronte di obblighi individuati dai protocolli e dalle procedure, ed all'impatto di tali omissioni nell'agevolare la consumazione del reato; 3) alle omissioni ascrivibili a quei soggetti preposti ad assicurare non solo il rispetto del Modello organizzativo ma anche la sanzione in caso di sua violazione, nonché il suo costante aggiornamento.

Si legge nella sentenza che l'istruttoria dibattimentale condotta, con il supporto anche di Consulenti Tecnici, ha consentito di calarsi "nella prospettiva dell'ente al fine di valutare se, con un giudizio di prognosi postuma, l'organizzazione richiesta in chiave penal- preventiva fosse apprezzabile, idonea, efficace, o se fossero ravvisabili anomalie tali da integrare la <>.".

Tale prospettiva ha condotto a ritenere inidoneo il Modello adottato dalla Società "rispetto al suo peculiare scopo penal- preventivo: intercettare e neutralizzare un fattore di rischio ed ostacolare la consumazione di uno specifico reato.". Conclusione, questa, resa possibile da un approccio che potremmo definire Modello-centrico, in cui la regola che si assume violata (laddove esista, dal momento che la responsabilità potrebbe derivare proprio dalla totale assenza di regole) è frutto del processo di auto-normazione dell'ente e trova la sua collocazione, appunto, nel Modello che diventa "protagonista dell'istruttoria dibattimentale".

Il tutto ponendosi nella prospettiva dell'ente al momento dei fatti, valutando la condotta dei soggetti sottoposti ad altrui direzione sulla base degli elementi conosciuti e conoscibili all'epoca. Il punto è, quindi, verificare se 1) i dipendenti (o comunque in altro modo sottoposti) abbiano correttamente inquadrato l'attività a rischio e rispettato i protocolli e le procedure stabiliti nel Modello in relazione a tale attività; 2) in caso contrario, se sia stata rilevata, e quindi corretta, la disfunzione rispetto al MOG.

Nella sentenza in commento si legge che, non solo è stata dimostrata la ricorrenza di numerosi indici di anomalia, ma anche che i soggetti interni all'ente, diversi dagli autori del reato e destinatari di funzioni di direzione e vigilanza, "hanno avuto esplicita manifestazione di tali anomalie".

Nonostante ciò, esse non sono state correttamente rilevate da coloro i quali avevano obblighi di direzione e vigilanza, né sono state oggetto di quei flussi informativi necessari a far sì che si potesse "scoprire ed eliminare tempestivamente situazioni di rischio", come previsto dall'art. 7 comma 3 d.lgs. 231/01. E proprio con riguardo al tema dei cc.dd. flussi informativi si rileva un ulteriore parallelismo con la disciplina dettata dall'art. 6 che, al comma 2 lett. d), impone che il MOG debba prevedere obblighi di informazione nei confronti dell'Organismo di Vigilanza.

D'altra parte, il sistema di controlli architettato dall'ente dovrebbe: 1) "operare anche con un meccanismo <> in grado di impedire di portare a compimento la fase di una procedura connotata da violazione"; 2) far sì che i controlli stessi possano "essere indirizzati da accadimenti interni o esterni all'ente in grado di incidere sulla mera casualità dei controlli <>".


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: