Rispetto all’ultima versione, datata 2014, le Linee Guida hanno dovuto recepire numerose novità: da un lato legate all’inserimento di nuovi reati presupposto nel “catalogo 231” e, dall’altro, alle modifiche del d.lgs. n. 231/2001 conseguenti all’introduzione del whistleblowing ad opera della l. n. 179/2017.

Con riferimento al primo aspetto, l’appendice – Case study, oltre all’ampliamento delle fattispecie relative a reati già individuati nella versione precedente, si è arricchita di due nuovi reati presupposto: i reati tributari (art. 25-quinquiesdecies) e i reati di contrabbando (art. 25-sexiesdecies), per i quali – al pari degli altri – le Linee Guida, dopo aver delimitato le relative fattispecie penali, riportano una indicazione delle principali aree a rischio reato, dirette e indirette, e dei controlli preventivi da predisporre all’interno dell’ente ai fini della mitigazione del rischio.

Quanto al whistleblowing, oltre a commentare i contenuti dei commi 2-bis, 2-ter e 2-quater dell’art. 6, introdotti dalla citata l. n. 179/2017, le Linee Guida pongono l’attenzione sul ruolo dell’Organismo di Vigilanza, nell’ipotesi in cui questo non sia individuato quale destinatario esclusivo delle segnalazioni, muovendo dal presupposto che il sistema di gestione del whistleblowing sia solo una parte del più ampio modello organizzativo di cui l’OdV deve monitorare il funzionamento. A tal fine, per evitare che il meccanismo di whistleblowing sfugga del tutto al suo monitoraggio, l’OdV deve opportunamente essere coinvolto (in via concorrente ovvero successiva), ad esempio laddove il destinatario iniziale della segnalazione, effettuata una prima valutazione sommaria della stessa, ne abbia verificato la rilevanza sul piano 231.

Le Linee Guida non escludono che la segnalazione possa essere trasmessa anche ad un soggetto esterno, competente in materia di diritto penale ed esperto nel settore, in modo tale da consentire all’impresa di ricevere una valutazione qualificata della segnalazione ricevuta e, di conseguenza, di agevolarne la gestione interna. Ad ogni modo, tenuto conto della imminente scadenza per il recepimento della direttiva europea 2019/1937 in materia di whistleblowing – il cui iter è già stato avviato con la l. 22 aprile 2021, n. 53 (legge di delegazione europea) – le Linee Guida ribadiscono la posizione di Confindustria che, nelle diverse occasioni di confronto con le istituzioni sul tema, ha richiesto che il recepimento della direttiva garantisca un approccio bilanciato tra la protezione dei whistleblower e la necessità di salvaguardare le imprese contro abusi e rivelazioni di informazioni sensibili ai concorrenti. Altra richiesta di rilievo, anch’essa evidenziata nelle Linee Guida, è quella relativa alla necessità di tenere separato il canale di recepimento della direttiva europea dal d.lgs 231/2001, onde evitare che venga introdotto in via surrettizia l’obbligo di adozione del modello organizzativo per tutte le piccole-medie imprese.

Nelle Linee Guida aggiornate, particolare attenzione è poi dedicata ai sistemi di gestione integrata del rischio. Al riguardo, posto che il “rischio di compliance” (cioè di non conformità alle norme) espone le imprese a rilevanti sanzioni giudiziarie o amministrative, nonché a perdite finanziarie rilevanti e a potenziali danni reputazionali, si osserva che l’adeguamento ai numerosi obblighi previsti dalle norme di compliance può comportare la sovrapposizione di processi e controlli e la produzione di informazioni potenzialmente incoerenti. Di contro, l’approccio alla c.d. “compliance integrata” consente di razionalizzare le attività (in termini di risorse, sistemi, ecc.), migliorandone l’efficacia e l’efficienza e facilitando la condivisione delle informazioni.

Sotto questo aspetto, le Linee Guida evidenziano l’importanza di una visione integrata delle diverse esigenze di compliance dell’ente, anche attraverso l’esecuzione di risk assessment congiunti, in modo da adottare procedure comuni che garantiscano efficienza e snellezza senza generare sovrapposizioni di ruoli (o, al contrario, assenza di presidi) e duplicazioni di verifiche e di azioni correttive, laddove tali ruoli incidano sugli stessi processi.

È evidente che una siffatta gestione integrata richiede uno specifico e costante coordinamento tra i principali soggetti aziendali interessati, tra i quali il dirigente preposto alla redazione dei documenti contabili societari, la funzione compliance, l’internal audit, il datore di lavoro, il responsabile antiriciclaggio (per le imprese soggette agli obblighi di cui al d.lgs. 231/2007), il collegio sindacale, il comitato per il controllo interno, la revisione contabile e l’OdV. L’interazione virtuosa tra tali soggetti consente, infatti, l’individuazione preventiva dei processi a rischio, dei soggetti coinvolti e dei flussi informativi necessari ai fini della valutazione dei rischi di non conformità.

Nell’ottica descritta, il recente inserimento dei reati tributari nel “catalogo 231” rende opportuna la mitigazione del rischio fiscale anche attraverso sistemi eventualmente già implementati dalle imprese ai fini dell’adeguamento ad altre normative, ad esempio il Tax Control Framework (TFC) di cui al d.lgs. n. 128/2015. Al riguardo le Linee Guida sottolineano che, seppur non sufficiente per l’esonero dell’ente dalla responsabilità da reato, la presenza del TFC consentirebbe di integrare il sistema di controllo interno e minimizzare l’impatto derivante dall’adeguamento ai reati fiscali, in quanto il relativo modello di controllo può essere opportunamente integrato con quanto previsto dall’art. 25-quinquiesdecies, consentendo la creazione di efficienze e sinergie tra i vari sistemi.