È un percorso disseminato di ostacoli, quello della compliance aziendale, ovvero la conformità delle attività aziendali alle disposizioni normative, ai regolamenti, alle procedure e ai codici di condotta. Dall’antiriciclaggio alla tutela della sicurezza sui luoghi di lavoro, dalla privacy fino alle disposizioni ambientali, il rischio di inciampare nella “non conformità” è elevato e questo può significare sanzioni amministrative o penali, con contraccolpi sull’immagine e sulla reputazione aziendale oltre che economici. Su questo tema lo studio di comunicazione The Skill con il patrocinio di AIGI, l’Associazione Italiana Giuristi d’Impresa, e in collaborazione con Learn The Skill e On Air The Skill, si è concentrato invitando alcuni esperti a discuterne come Cosimo Pacciolla (Manager Contenzioso e Consulenza legale, Compliance Officer Antitrust & Whistleblowing di Kuwait Petroleum Italia), Stefano Aldini (Of Counsel di Studio Legale SZA), Francesca Ferretti (Legal & Corporate Affairs Director di Rentokil Initial Italia), Giacomo Gualtieri (Partner di Studio Legale Bana), Mirko Salvatore (Corporate & Compliance senior Legal Counsel di NTT DATA EMEA Ltd), Ciro Santoriello (magistrato della procura di Torino) e Andrea Camaiora (docente di Comunicazione trasparente al Master Anticorruzione dell’Università di Tor Vergata). “Uno tra i migliori top manager con cui ho collaborato sottolineava spesso l’importanza di saper cogliere i “segnali deboli”, una metafora da velista”, ha spiegato Pacciolla. “Tuttavia, se prima era importante intuire i segnali deboli, oggi è auspicabile che l’attenzione si rivolga anche ai ‘non segnali’, a quegli elementi che non appaiono ai più ma possono essere previsti. Sulla compliance temo che non siamo riusciti a valorizzare non solo i cosiddetti segnali deboli ma nemmeno quelli forti. A questo proposito, un interessante report del 2017 di Confindustria offriva un quadro non confortante dell’approccio all’acquisizione dei sistemi di compliance. E temo che quel ritardo rischi di rimanere tale”. I reati ambientali, il rispetto del Gdpr, prevenzione cyber crimes, whistleblowing, sono ambiti di applicazione della compliance in cui il modello italiano si confermerebbe in affanno. “In tutti questi settori l’approccio italiano mostra limiti di preparazione e maturità; anche su riciclaggio e antiriciclaggio, sembrano proporsi le medesime difficoltà”, continua ancora Pacciolla, che aggiunge: “Attenzione, si tratta di un problema che riguarda un contesto culturale che investe non solo il management o i professionisti. Anche la magistratura, nella stessa giurisprudenza che esprime, non ci aiuta. Andiamo incontro a una liability d’impresa sempre più di tipo penalistico, che provocherà – tra l’altro – una clamorosa esposizione economica delle aziende. Inoltre, anche solo citando la prossima direttiva in discussione in sede comunitaria sulla supply chain, la regolamentazione di impresa e il conseguente profilo di responsabilità imporranno una competenza giuridica multidisciplinare accompagnata da una particolare sensibilità verso i profili di liability penalistica o parapenalistica”. “Bisogna andare al cuore dello spirito della normativa: la prevenzione. Lo scopo principale del modello organizzativo consiste nella prevenzione – afferma Giacomo Gualtieri – E’ necessario e opportuno che il modello organizzativo sia integrato con tutti i sistemi di controllo e gestione che l’ente ha adottato. Rilevo che in Italia il recepimento delle norme di compliance è molto limitato. I modelli organizzativi si sono rivelati inadeguati, vengono sì realizzati, ma poi non reggono in sede di verifica giudiziaria – spiega ancora l’avvocato – si parla spesso di una colpa normativa, quello che serve è avere una serie di regole che individuano i rischi e i comportamenti davanti ai rischi, quando questo sistema c’è si può fare un giudizio di idoneità, quando questo sistema di regole non c’è allora le cose non funzionano”. “Quando si parla di compliance spesso si fa riferimento al modello della grande impresa, invece dovremmo considerare anche la piccola e media impresa, meglio ancora l’azienda familiare dove il management è composto dai membri della famiglia proprietaria” fa notare Stefano Aldini. “Il Modello Organizzativo serve principalmente a prevenire i reati ma rappresenta anche l’occasione per migliorare l’organizzazione attraverso il riesame dell’assetto organizzativo e la revisione dei processi di gestione e di controllo dell’azienda. Molte imprese – conclude Aldini – affrontano il Modello Organizzativo come adempimento formale perché hanno la percezione che questo sia sufficiente. Alla fine, il rischio è che i modelli si somiglino tutti. I sistemi di gestione possono servire per affrontare la compliance in modo più concreto ed efficace avendo ben presente però che nessuna certificazione volontaria garantisce di per sé la conformità alla legge. Il problema è più complesso”. Il pm Ciro Santoriello ha affrontato la questione compliance dal punto di vista delle procure. “Il primo problema di carattere processuale è che la magistratura motiva quando condanna e non quando assolve, l’archiviazione dei procedure sulla 231 non prevede che ci sia una motivazione per l’archiviazione delle aziende – spiega – d’altro canto c’è da dire che la magistratura non ha contribuito a costruire il modello del fare impresa, le volte in cui la magistratura condanna lo fa per l’assenza del modello organizzativo, non perché ce n’è uno ma è inadeguato. Servirebbe costruire un ponte tra magistratura e mondo delle imprese”. Il magistrato ha anche approfondito la modalità di approccio che la sua funzione dovrebbe avere nei confronti dei reati legati al mondo delle imprese: «Non quello che ho nei confronti di un rapinatore. Per esempio la bancarotta e il falso in bilancio sono illeciti la cui costruzione è fortemente culturale. Un modello organizzativo non elimina il rischio ma abbassa il rischio che si verifichi il reato. Il problema – chiude Santoriello – è che le imprese chiedono a noi di spiegare che cos’è il modello organizzativo. Ma al giudice e al pm non interessa sapere che cosa è successo, una volta accertato il reato, interessa sapere chi è stato a commetterlo». “Il problema è che ancora oggi molti imprenditori vedono la compliance come modello predefinito calato da fuori e non come occasione di guidare i comportamenti giusti all’interno dell’organizzazione, che può rendere più produttiva un’azienda” sottolinea Francesca Ferretti. “Ci sono rischi sempre maggiori di sanzioni, perdita di opportunità di business e reputazionali: è quindi importante che il vertice aziendale lavori in ottica attenta a tutte le sfaccettature, verso la direzione di fare scelte sempre più consapevoli attraverso una cultura organizzativa. Ma non basta. Sono in aumento anche gli obblighi e le responsabilità lungo tutta la catena di fornitura (rif. proposta di direttiva sulla Corporate Sustainability Due Diligence), il che richiede un incremento dei controlli sui processi, inserendo anche quello della catena di fornitura. È ormai indispensabile il continuo coordinamento tra tutti i ruoli aziendali e in questo quadro il giurista d’impresa può costituire la figura trasversale che riesce a garantire una adeguata circolazione delle informazioni rilevanti e a far dialogare tutte le parti in azienda per affrontare insieme la complessità». Proprio il compito del legale interno diventa sempre più strategico. “Questa figura dovrebbe proporsi come promotore della condivisione” spiega Mirko Salvatore, “una figura che agevola la compartecipazione di tutte le funzioni aziendali a partire da una valutazione dei rischi congiunta e dall’adozione di criteri uniformi, per proteggere l’interesse aziendale”. Un esempio concreto? Il whistleblowing: “La legislazione sul whistleblowing tutela molteplici interessi, tra cui quello della legalità, della riservatezza del segnalante e dovrebbe tutelare anche il segnalato (anche se il quadro non è ancora maturo). Al momento possiamo dire che un approccio non integrato e non multidisciplinare svela un rischio, ed è quello che ogni soggetto coinvolto nel circuito delle segnalazioni adotti un proprio criterio di valutazione. Il rischio è considerare solo alcuni aspetti del processo di segnalazione, e non il modello nella sua generalità”.