L’attuale situazione di emergenza derivante dalla pandemia Covid-19 sta coinvolgendo, inevitabilmente, tutte le aziende italiane, tanto quelle che sono costrette a fermarsi, o al più a continuare le proprie attività “da remoto” ai sensi del D.P.C.M del 22 marzo 2020 quanto quelle per le quali è prevista la prosecuzione delle attività poiché riconducibili alla produzione di beni e servizi di prima necessità, individuati nell’allegato 1 al suddetto D.P.C.M..

Il D.P.C.M. del 22 marzo 2020 prevede inoltre la prosecuzione (previo espletamento delle formalità stabilite nel medesimo D.P.C.M. rectuis comunicazione al Prefetto o richiesta di autorizzazione a seconda dei casi) delle seguenti attività:

  • attività funzionali ad assicurare la continuità delle filiere indicate nell’allegato 1 al D.P.C.M. 22 marzo 2020 (art. 1, comma 1, lettera d);
  • attività funzionali ad assicurare la continuità dei servizi di pubblica utilità e essenziali (art. 1, comma 1, lettera d);
  • attività che erogano servizi di pubblica utilità, nonché servizi essenziali di cui alla legge 12 giugno 1990, n. 1461 (art. 1, comma 1, lettera e);
  • attività di produzione, trasporto, commercializzazione e consegna di farmaci, tecnologia sanitaria e dispositivi medico-chirurgici nonché di prodotti agricoli e alimentari (art. 1, comma 1, lettera f);
  • attività degli impianti a ciclo produttivo continuo, dalla cui eventuale interruzione potrebbe derivare un pregiudizio grave agli impianti o un pericolo di incidenti (art. 1, comma 1, lettera g);
  • attività dell’industria dell’aerospazio e della difesa, nonché le altre attività di rilevanza strategica per l’economia nazionale (art. 1, comma 1, lettera h).

Per tutte le società che hanno adottato un proprio Modello di Organizzazione, Gestione e Controllo ai sensi del Decreto Legislativo 231 del 2001 (“D.Lgs.231/2001”), è opportuno analizzare se e quali impatti il Coronavirus abbia sull’assetto organizzativo aziendale.

Nel mirino: le fattispecie di reato da tenere maggiormente in considerazione

Dando uno sguardo a quanto accaduto nelle ultime tre settimane (circa) è stato, tra l’altro, chiesto alle imprese di porre in essere maggiori precauzioni in conformità a quanto previsto dai D.P.C.M adottati dal Presidente del Consiglio dei Ministri nel corso del mese di marzo 2020, di sviluppare e porre in essere cambiamenti nelle abitudini lavorative (e, in particolare, di incentivare e facilitare il lavoro agile dei propri dipendenti), nonché di analizzare e prestare attenzione ai molteplici sospensioni e differimenti di alcuni adempimenti fiscali previsti dal Decreto Legge n. 18  del 17 marzo 2020 ( “Decreto Cura Italia”).

A fronte dei molteplici cambiamenti organizzativi delle imprese è necessario “rivalutare” il rischio di commissione di alcune fattispecie di reato contemplate dal D.Lgs. 231/2001.

  1. Reati in materia di salute e sicurezza nei luoghi di lavoro (art. 24-septies del D.Lgs. 231/2001)

Per la prima volta dall’entrata in vigore del D.Lgs. 231/2001, le imprese che non hanno quotidianamente a che fare con agenti biologici si sono dovute confrontare con un rischio epidemico globale da Coronavirus il cui grado di contagio è estremamente elevato e atto a  ledere la salute dei lavoratori.

Ai sensi dell’art. 42 del Decreto Cura Italia  i “casi accertati di infezione da coronavirus in occasione di lavoro” costituiscono un caso di infortunio sul lavoro.

Quali precauzioni deve adottare l’organo amministrativo di una società per essere compliant alle previsioni del D. Lgs. 231/2001?

Il D.Lgs. 231/2001 include tra i reati presupposto i reati di lesioni colpose gravi o gravissime e l’omicidio colposo.

Trattandosi di reati di natura colposa, le società potrebbero essere ritenute responsabili per non aver posto in essere tutte le misure idonee a prevenire i reati in esame, ricavando – quale interesse e vantaggio – anche solo il risparmio di spesa per le misure di protezione non adottate.

Pertanto, è opportuno che l’organo amministrativo – con l’aiuto dell’RSPP e del Medico Competente – provveda a:

  • attuare e implementare le misure igieniche di contrasto al virus e i presidi sanitari indicate nei D.P.C.M. emanati dal Presidente del Consiglio dei Ministri (D.P.C.M. del 4, 9 e 11 marzo 2020);
  • provvedere all’aggiornamento delle policies aziendali sulla salute dei lavoratori e sulla sicurezza dei luoghi di lavoro, ivi incluso il Documento di Valutazione dei Rischi e la sezione del proprio Modello di Organizzazione, Gestione e Controllo in materia di salute e sicurezza. Infatti, per la maggior parte delle attività produttive che non sono a contatto con agenti biologici, il rischio epidemico è stato sino a ora previsto nemmeno quale potenziale.

Sul punto si precisa che l’aggiornamento dei predetti documenti non può certo essere effettuato “solo sulla carta” e necessita di incontri con le funzioni aziendali e raccolta di documentazione presso l’azienda e, nel rispetto delle attuali disposizioni di legge tali attività non possono essere attualmente effettuate.

Tuttavia, il suggerimento è quello di adottare e documentare tutte le misure di carattere organizzativo e gestionale idonee a ridurre il rischio epidemico, raccogliendo quindi qualunque documentazione, protocollo o procedura implementato in questo periodo di emergenza.

Infatti, come statuito dalla Cassazione Penale Sezioni Unite n. 38343 del 24.04.2014 (caso Thyssen) “tali accorgimenti vanno consacrati in un documento, un modello che individua i rischi e delinea le misure atte a contrastarli. Non aver ottemperato a tale obbligo fonda il rimprovero, la colpa di organizzazione”.

A livello operativo sono certamente di ausilio:

  • le Linee guida AIFOS rivolte a formatori, consulenti, RSPP e Datori di Lavoro in tema di gestione del rischio biologico da Coronavirus che possono essere di ausilio anche all’organo amministrativo per la valutazione delle misure igieniche e dei presidi sanitari da porre in essere.

*   .   *   .   *

  1. Reati informatici (articolo 24-bis del D.Lgs. 231/2001)

In conformità a quanto previsto nei D.P.C.M. adottati nel corso del mese di marzo dal Presidente del Consiglio dei Ministri, le imprese sono tenute – per tutta la durata dell’emergenza – a incentivare i propri dipendenti al ricorso al lavoro agile (“smart working”), come definito agli articoli 18 e 23 della Legge n. 81 del 22 maggio 2017.

Dalle analisi rese note dall’Osservatorio Smart Working del Politecnico di Milano emerge che – nel 2019 – in Italia solo 570.000 lavoratori (ossia l’8% del totale) facevano ricorso allo smart-working. Attualmente, invece, la “rivoluzione coronavirus”, così definita dal presidente del predetto osservatorio, sta espandendo il ricorso al lavoro agile e i maggiori operatori telefonici segnalano che il traffico dati sulle linee fisse è aumentato in media del 20% con picchi del 50%.

I lavoratori che hanno la possibilità di lavorare da remoto lo fanno per lo più con dispositivi forniti dalle aziende o con propri dispositivi direttamente ai quali viene dato accesso ai server aziendali.

Il non preventivato forte incremento di lavoratori in smart work – sebbene necessario per permettere a gran parte delle imprese di proseguire le proprie attività aziendali (evitando enormi danni al sistema economico) – espone i sistemi informativi aziendali a forti rischi di compromissione.

Infatti, come evidenziato anche dalla Polizia di Stato, “in questi giorni, in cui milioni di italiani sono in casa, i reati “tradizionali” sono crollati e sono invece aumentati quelli informatici” e, inevitabilmente, tra questi reati vi sono anche quelli contemplati dal D. Lgs. 231/2001 quali:

  • accesso abusivo ad un sistema informatico o telematico;
  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
  • diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche
  • danneggiamento di informazioni, dati e programmi di sistemi informatici o telematici.

Quali precauzioni deve adottare l’organo amministrativo di una società per essere compliant alle previsioni del D. Lgs. 231/2001?

Sebbene, al momento, possa sembrare difficile ravvisare un interesse o un vantaggio dell’ente, l’organo amministrativo dovrebbe incrementare le proprie politiche di cyber-sicurezza e, ove non presente predisporre una procedura ad hoc per l’utilizzo dei dispositivi aziendali.

Tra i principali divieti che devono essere imposti ai dipendenti in “smart-working” vi sono, ad esempio, il divieto di:

  • scaricare software non autorizzati;
  • effettuare copie non autorizzate di documenti aziendali, programmi in licenza d’uso;
  • acquisire abusivamente informazioni contenute nei sistemi informativi di terzi;
  • danneggiare o distruggere dati contenuti nei suddetti sistemi informativi;
  • rivelare le proprie o le altrui credenziali di autenticazione alla rete informatica;
  • aggirare le regole di sicurezza imposte sugli strumenti informatici aziendali e sulle reti di collegamento interne ed esterne;
  • eludere sistemi di controllo posti a presidio di sistemi informatici o telematici, e comunque accedere ai predetti sistemi in mancanza delle necessarie autorizzazioni;
  • utilizzare nelle proprie comunicazioni linguaggi censurabili, indecorosi e offensivi;
  • accedere a siti web censurabili, indecorosi e offensivi;
  • accedere alla rete aziendale o ai programmi con codici di identificazioni di altri utenti.

*   .   *   .   *

  1. Reati tributari (art. 25-quinquiesdecies del D.Lgs. 231/2001)

Nell’attuale situazione di emergenza Coronavirus è altresì necessario prestare attenzione ai Reati Tributari, “ultimi arrivati” nel novero dei reati presupposto del D.Lgs. 231/2001 (per una corretta analisi dei quali si rinvia alla news del 20 gennaio 2020.

In particolare, il rischio potrebbe essere quello di commissione del reato di “Emissione di fatture o altri documenti per operazioni inesistenti (art. 8 D.Lgs. 74/2000)” da parte di un dipendente che emette o rilascia fatture o altri documenti per operazioni inesistenti al fine, ad esempio, di evadere le imposte e fare così fronte alla prospettata crisi derivante dalla pandemia in corso.

Per la configurabilità del reato:

  • non è necessario che le fatture o gli altri documenti siano emessi esclusivamente per favorire l’evasione fiscale di terzi, potendo anche sussistere un fine personale;
  • trattandosi di un reato istantaneo, è sufficiente l’emissione della fattura o, nel caso di più condotte criminose, l’emissione dell’ultima delle fatture.

Quali precauzioni deve adottare l’organo amministrativo di una società per essere compliant alle previsioni del D.Lgs. 231/2001?

L’organo amministrativo deve perseguire l’obiettivo di abbassare il rischio al c.d. “livello di accettabilità” oppure, laddove possibile, ridurre a zero il rischio residuo e, pertanto, sarà necessario valutare attentamente i processi aziendali maggiormente esposti, quali, ad esempio:

  • la gestione anagrafica clienti e fornitori;
  • la gestione della contabilità in generale: tenuta della contabilità; registrazione fatture o documenti contabili nelle scritture contabili obbligatorie; detenzione fatture o documenti a fine di prova (nei confronti dell’amministrazione finanziaria);
  • gestione delle attività volte alla determinazione dei tributi, imposte;
  • presentazione della dichiarazione dei redditi – imposte sul valore aggiunto.