È possibile la compliance nella PMI?
La previsione della responsabilità penale delle piccole imprese ha finalità preventiva. La compliance penale per queste imprese è proporzionalmente più costosa rispetto a quella delle imprese medie e grandi, tale problema può essere affrontato attraverso azioni collettive e l’informatizzazione
Parlare di compliance penale nelle piccole e medie imprese (PMI) potrebbe rivelarsi inutile per tre ragioni. Se almeno una di queste ragioni fosse realmente convincente, questo post sarebbe privo di significato.
- La prima ragione è che la compliance in una PMI è impossibile: un’asserzione piuttosto irragionevole. Non v’è alcuna ragione per la quale una piccola impresa non possa organizzarsi affinché i suoi membri non commettano reati in suo favore. Quando nell’ambito delle PMI – e non solo delle PMI – si è parlato dell’impossibilità della compliance, ciò ha riguardato un aspetto assai concreto, vale a dire il controllo dell’amministratore unico, un autocontrollo a cui farò riferimento più avanti.
- La seconda ragione non riguarda l’impossibilità della compliance, ma la sua inutilità rispetto all’obiettivo essenziale di concretare il corretto esercizio del dovere penale della persona giuridica affinché essa non venga punita. La tesi sarebbe la seguente: “possono adottarsi modelli organizzativi (programmi di conformità), ma essi non saranno mai in grado di comprovare la diligenza della persona giuridica. In un contesto di piccole dimensioni, se si delinque a favore dell’impresa è perché l’impresa lo permette”. Si tratta, di nuovo, di un’ipotesi poco razionale che, ancora una volta, si riferisce soltanto al controllo degli amministratori delle PMI. Si afferma che tale controllo è possibile ma non sarà mai convincente per dimostrare la diligenza della persona giuridica.
- La terza ragione per terminare subito questo intervento è che la compliance penale delle PMI non ha alcuna specificità rispetto alla compliance penale in generale delle persone giuridiche. Ma neppure questa considerazione fa venir meno l’utilità del compito che mi sono dato: se la compliance penale si riferisce a un concreto modello di organizzazione dell’impresa, è noto che – come per qualsiasi altra strategia imprenditoriale – ai fini dell’incorporazione o della conformazione di qualsivoglia procedimento, assumono rilievo le dimensioni dell’impresa, e proprio ciò ha fatto sì che la PMI sia divenuta una categoria a sé stante. Esistono le “piccole e medie imprese” (PMI) per le specificità che possiedono rispetto alle “imprese” in generale.
In definitiva: non ritengo superfluo proseguire nel mio post, perché la compliance nelle PMI è possibile, può risultare efficace per esonerare da responsabilità penale la persona giuridica e presenta differenze significative rispetto alla compliance delle grandi imprese.
È necessaria la responsabilità penale delle PMI?
Le idee appena accennate (nelle PMI è possibile il controllo verso il basso, mentre è difficile il controllo verso l’alto), ancora molto intuitive, non mi sollevano dall’affrontare una questione più generale, dalla cui risposta pure può dipendere l’inutilità di un problema come quello affrontato in questa sede, non tanto alla luce del diritto vigente in Spagna, essendo allo stato indiscutibile l’assoggettamento a responsabilità anche delle imprese di piccole dimensioni, quanto in prospettiva futura. Mi riferisco alla possibilità che ad essere davvero priva di significato sia la stessa responsabilità penale delle persone giuridiche di piccole dimensioni.
Ovviamente, per riflettere su tale problematica dobbiamo affrontare la vexata quaestio della funzione della responsabilità penale delle persone giuridiche, che – per come la vedo io – è la seguente: si tratta di un meccanismo di imputazione della responsabilità penale che cerca di attingere il cuore decisionale dell’impresa per prevenire la commissione di reati in suo favore. Indipendentemente dai problemi che può sollevare questa responsabilità collettiva sul piano del principio di colpevolezza, si tratta attualmente della nostra principale strategia di lotta alla criminalità di impresa, assieme ad un perfezionamento della dogmatica in materia di responsabilità per omissione. Si tratta di contrastare gli incentivi che ha l’impresa nello stimolare, seppure implicitamente, i reati realizzati a suo vantaggio dai suoi membri. A fronte della cultura “io, impresa, in questo feroce sistema competitivo, devo delinquere per sopravvivere, cosicché, è meglio per te, dipendente, che mi aiuti in questo senso, perché anche il tuo posto di lavoro è in balia di questo feroce sistema competitivo”; a fronte di questa cultura, si tratta di inviare il seguente messaggio: “se tu, impresa, tolleri il reato per te vantaggioso commesso dai tuoi membri, tale reato ti verrà imputato; rectius: ti verrà imputato il tuo proprio reato di pura omissione, di essere un cattivo poliziotto dei tuoi membri”.
Tutti sappiamo che un’efficace strategia di responsabilizzazione delle persone giuridiche ha alcuni “però”; soprattutto uno, come ho appena segnalato, relativo al sottoprincipio (del principio di colpevolezza) di personalità delle pene. Quando si punisce una persona giuridica, una collettività di individui, é sufficiente la relazione tra l’autoria individuale del fatto lesivo e il soggetto in definitiva punito? Questa obiezione ci deve condurre, in primo luogo, ad affinare al massimo i criteri di imputazione del reato alla persona giuridica – l’idea della responsabilità per difetto di organizzazione –, e, in secondo luogo, e per ciò che più interessa ai fini del mio discorso, a ricorrere a questa forma di responsabilità collettiva solo quando sia necessaria per scopi preventivi.
La mia domanda è ora questa: è necessario punire le PMI per prevenire i loro reati?
La risposta intuitiva è affermativa (“sì”), e possiamo anche sottolinearla (“SÌ”). Perché no? Le ridotte dimensioni di una organizzazione accresceranno la possibilità che si radichi una cultura criminosa, l’identificazione del dipendente con la sopravvivenza e la prosperità della sua impresa, l’orgoglio di “indossare la divisa” tale da elidere ogni remora alla non-compliance.
Resta però un dubbio sulla necessità di ricorrere a tale strumento. Data la vicinanza che si avrà in ogni evenienza tra l’amministrazione della persona giuridica e la realizzazione del reato, potrebbe anche ritenersi che i meccanismi tradizionali di imputazione individuale del reato all’amministratore siano sufficienti per prevenire i reati della piccola impresa: se il reato è commesso dallo stesso amministratore, in quanto questi sarà punito direttamente; se il reato è commesso da un dipendente, perché anche l’amministratore verrà punito come autore o concorrente a titolo omissivo.
Il primo punto è a mio avviso indiscutibile, ancorché solo in alcune ipotesi, vale a dire quelle del reato commesso dall’amministratore unico: in questi casi non sembra sussistere una reale necessità di punire la persona giuridica per ragioni preventive. La seconda relazione (il rapporto tra reati dei dipendenti e responsabilità penale degli amministratori) invece non è così solida, perché a mio giudizio non ricorre sempre una posizione di garanzia dell’amministratore rispetto alla commissione dei reati di impresa da parte dei dipendenti.
A modo di conclusione provvisoria: la responsabilità penale della PMI ha un pieno significato preventivo, perché non sempre sorge in capo all’amministratore la responsabilità individuale per il reato di impresa. Al sorgere di tale responsabilità, la questione che si pone non è solo utilitaristica (di carenza di necessità), ma anche di giustizia, afferendo alla possibile violazione del divieto di bis in idem. A questo profilo dedicherò un altro post.
Le specificità della compliance nelle PMI
Ma torniamo ai programmi di conformità delle PMI. Una lamentela abituale delle PMI – è tale lamentela è tanto maggiore quanto più piccola è l’impresa – riguarda i costi sproporzionati che richiedono i sistemi di compliance. “Non posso produrre se mi si impone di destinare troppe risorse al controllo della mia produzione”. Questa lamentala, di certo, mi ricorda il paradosso dei ricercatori universitari in Spagna: “Come posso fare ricerca se devo dedicare il mio tempo ad insegnare ciò che ricerco”.
Tale doglianza delle PMI è esagerata, poiché vale sempre, al riguardo, il principio di proporzionalità dei requisiti e dei costi. Quanto più piccola è l’impresa, tanto minore è, specularmente, il costo di implementazione di un sistema di compliance. L’esigenza da soddisfare è, dunque, la stessa. O persino minore, poiché a un più basso livello di complessità imprenditoriale il controllo sarà possibile, proporzionalmente, a un costo minore.
In ipotesi, il correttivo della proporzionalità (al diminuire delle dimensioni, si riduce il costo relativo) dovrebbe riguardare le seguenti circostanze:
- il controllo è più semplice, più diretto, in contesti organizzativi ridotti;
- tale controllo richiede minori formalità, per quanto esse possano essere opportune in vista di future esigenze probatorie;
- è più influente ed efficace, stante la vicinanza, una cultura etica e della compliance che scaturisca dalla sommità dell’impresa; e tale cultura consente l’alleggerimento di mezzi di controllo più onerosi;
- la semplicità organizzativa di una PMI comporta una correlata semplicità organizzativa in materia di compliance.
Tuttavia, le ipotesi appena formulate non risultano convincenti perché trascurano fattori di proporzionalità inversa: minore è la dimensione dell’impresa, maggiore è il costo relativo. Gran parte dei costi di conformazione e sviluppo di un sistema di compliance sono fissi, e in ogni caso non rispecchiano, in termini di esiguità, alle piccole dimensioni dell’impresa.
Ciò appare vero, innanzitutto, rispetto alla quantificazione dei rischi da prendere in considerazione, che dipendono in buona parte dal fatto stesso di afferire ad una realtà societaria. Grande o piccola che sia, ogni impresa assume lavoratori, ha fornitori, paga imposte, riceve e registra dati, fornisce computer ai suoi dipendenti, utilizza programmi informatici, riceve pagamenti, cerca di attirare clienti, ha rapporti con la concorrenza, ha relazioni con funzionari pubblici. Naturalmente, tutto ciò si verificherà in maggior misura e con maggiore complessità in una grande impresa; però un comune punto di partenza, non insignificante, del lavoro sarà l’individuazione dei procedimenti rischiosi e la loro analisi. È noto, per esemplificare e ragionare concretamente, che il lavoro di compilazione di questionari e di raccolta della documentazione per l’analisi dei rischi non è cento volte maggiore in una grande impresa che sia cento volte più grande di una piccola impresa. Inoltre, la dimensione non comporta solo o necessariamente una maggiore complessità produttiva, un maggior numero di procedimenti, ma anche una moltiplicazione degli stessi procedimenti. Per ciascun procedimento, il costo più consistente del controllo risiede solitamente nella sua progettazione iniziale.
Allo stesso modo, non si ha un incremento proporzionale dei costi per la elaborazione di un codice etico, o di un canale di segnalazione degli illeciti o di un regolamento di compliance. E lo stesso vale per la contrattazione di servizi esterni di accreditamento.
Strategie di compliance nelle PMI
Alla luce di quanto precede, ritengo, in linea di principio, inconfutabile che la compliance sia relativamente più costosa per le PMI rispetto alle grandi imprese, ed relativamente più costosa quanto più piccola sia l’impresa considerata. A ciò si aggiunge una maggiore vulnerabilità alla tentazione della non compliance per ragioni economiche. In caso di difficoltà economiche nel sostenere i costi della compliance, una grande impresa avrà maggiori possibilità di accedere a nuove risorse rispetto ad un’impresa minore.
A fronte di ciò, le PMI devono sviluppare strategie compensative: devono cercare di implementare e sviluppare sistemi di compliance efficaci ma meno costosi. Ciò è possibile attraverso azioni collettive e l’informatizzazione di programmi di aiuto e supporto alla compliance.
A. Le azioni collettive possono combinare gli sforzi delle PMI di uno stesso settore di attività. Si tratta di generare modelli documentali comuni che servano a tutte le imprese del settore o che servano quantomeno da schema di riferimento per ulteriori specificazioni da parte di ciascuna impresa. È possibile, ad esempio, adottare un codice etico comune o elaborare un modello generale poi adattabile alla sensibilità o alle specificità di ciascuna impresa. Lo stesso vale per i regolamenti di compliance e per i questionari di analisi dei rischi.
Una seconda azione collettiva prevede la condivisione di istituzioni comuni, come i Consigli Etici dell’associazione o giuristi incaricati di gestire il canale delle denunce e le conseguenti indagini interne.
Particolarmente feconde saranno le azioni formative condivise, si tratti di manuali, programmi informatici o corsi in presenza.
B. La seconda strategia a cui penso, nell’ambito delle azioni formative, è l’elaborazione di programmi informatici di aiuto e supporto alla compliance. È noto che l’informatizzazione aiuta a condividere e abbattere i costi.
Essenzialmente, un buon programma informatico dovrebbe essere composto da tre parti.
- La prima parte deve includere alcuni brevi video formativi che fanno riferimento, con un linguaggio pedagogico, agli elementi essenziali del sistema di compliance e ai rischi penali e ai controlli proprio di ciascun procedimento.
- La seconda parte è il questionario dei rischi, con domande a risposta chiusa circa il livello di rischio penale di ciascun procedimento e gli strumenti di controllo esistenti.
- La terza parte dovrebbe cominciare dalla precedente e prevedere una valutazione automatizzata del rischio e una serie di consigli relativamente alle risposte che rivelano l’inadeguatezza del sistema di compliance aziendale.
Il programma dovrebbe autocomporsi come un “Lego” in funzione delle attività dell’impresa (aggiungere o eliminare procedimenti, rispetto ai video e ai questionari); non è adatto a PMI che presentino rischi particolari; dovrebbe permettere l’archiviazione della documentazione di compliance.
Qualche conclusione.
Termino le mie riflessioni con qualche semplice conclusione:
- la responsabilità penale delle persone giuridiche di piccole dimensioni ha senso in funzione preventiva;
- la compliance penale in queste realtà minori è proporzionalmente più costosa che nelle imprese di maggiori dimensioni;
- questo aggravio di costi può essere contrastato mediante azioni collettive e programmi informatici di supporto alla compliance.