News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

Sistema 231 e commissione di reati colposi: quale compatibilità?

La Corte di Cassazione nella sentenza n. 39615/2022 ha annullato la sentenza della Corte d’Appello di Bologna relativa alla condanna di una società per il reato di lesioni colpose patite da un dipendente della società stessa, a seguito della violazione di norme poste a tutela della sicurezza sul lavoro.

Nelle motivazioni della sentenza i giudici di legittimità operano una ricostruzione relativa all’applicabilità del D. Lgs. 231/2001 (“Decreto 231”) ai reati colposi, che in questo articolo si ripropone.

Contesto normativo

Il modello repressivo previsto dal Decreto 231 è un “modello chiuso“, perché solamente la commissione dei reati previsti dalla Sezione III del Capo I del Decreto 231 fonda la responsabilità dell’ente (“Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro”).

In origine, i delitti colposi di omicidio e lesioni personali sul lavoro non facevano parte dell’elenco dei reati 231. Poi, l’art. 9 co. 1 della Legge n. 123/2007 ha inserito nel Decreto 231 l’art. 25-septies, ulteriormente modificato, nell’attuale configurazione, dall’art. 31 del D. Lgs. 81/2008.

In questo modo, lo schema di responsabilità degli enti è stato esteso anche alla commissione dei delitti colposi contro la vita e l’incolumità personale.

L’interesse e il vantaggio nei reati colposi

Con riferimento ai reati colposi nel Decreto 231, affinché l’interesse per l’ente sussista, è necessaria la violazione di norme antinfortunistiche, perché è proprio da tale violazione che la persona fisica ritiene di poter trarre un beneficio economico per l’ente, cioè un risparmio di spesa.

La sussistenza di tale consapevole violazione potrà apparire più evidente nei casi di colpa “cosciente”, o con previsione dell’evento, nei quali la volontà dell’agente non è diretta verso l’evento e, pur avendo concretamente presente la connessione causale fra la violazione delle norme cautelari e l’evento illecito, l’agente si astiene dall’agire doveroso per trascuratezza, insipienza, imperizia o irragionevolezza.

L’agente ripone la propria fiducia nella non verificazione dell’evento, ma è pienamente consapevole della violazione delle regole cautelari, e potrebbe porre in essere la violazione allo scopo, come spesso accade, di ottenere un risparmio di spesa.

Il vantaggio è invece un criterio oggettivo, legato all’effettiva realizzazione di un profitto in capo all’ente quale conseguenza della commissione del reato, e deve essere analizzato a posteriori.

Esso viene rapportato alle specifiche contestazioni mosse alla persona fisica, salvaguardando il principio di colpevolezza, ma allo stesso tempo permette che venga colpito anche l’ente, che ha approfittato e tratto guadagno della violazione cautelare, da una sanzione.

Quanto alla consistenza del vantaggio, deve trattarsi in un importo non irrisorio, il cui concreto apprezzamento è rimesso alla valutazione del giudice di merito.

Il criterio del risparmio dell’ente

La questione che dottrina e giurisprudenza si sono posti è come sia possibile che sussista la responsabilità dell’ente in presenza di morte o lesioni colpose causate dalle persone fisiche previste dal Decreto 231, se il criterio oggettivo indispensabile per ritenere tale responsabilità è quello della commissione nell’interesse o a vantaggio dell’ente.

I reati colposi causalmente orientati, cioè fondati sulla mancata volontà dell’evento lesivo, sembrerebbero inconciliabili con l’idea di interesse o vantaggio dell’ente, dato che nessun interesse o vantaggio può essere perseguito da una persona fisica che si renda autrice di un delitto colposo, in cui l’evento non soltanto è involontario, ma è anche in contrasto, per sua stessa natura, con qualsiasi interesse per l’ente.

Tuttavia, ritenere che i delitti colposi siano inconciliabili con l’art. 5 del Decreto 231 significherebbe abrogare di fatto l’art. 25-septies.

La giurisprudenza ha elaborato, quindi, un criterio di compatibilità che ha permesso di ritenere operativo l’articolo: è il criterio per cui, nei delitti colposi, l’interesse o il vantaggio per l’ente non deve riferirsi alla commissione dell’evento del reato, ma deve riguardare unicamente la condotta.

Un interesse per l’ente può essere ottenuto dalla violazione delle norme antinfortunistiche solamente al momento della condotta e al netto dell’evento, sotto forma di risparmio di spesa o di accelerazione o massimizzazione della produzione.

______________________________________

Immagine di copertina di Ibrahim Rifath grazie a Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

La 231 si applica anche alle società unipersonali

Con la recente sentenza n. 45100 del 6 dicembre 2021, la Sesta Sezione penale della Corte di Cassazione ha preso posizione sulla spinosa questione dell’applicabilità alle società unipersonali del D. Lgs. 231/2001.

La Suprema Corte è stata chiamata ad esprimersi su una decisione del Tribunale di Pescara che, a sua volta, si era pronunciato su un caso di corruzione perpetrato da un funzionario comunale.

Discostandosi da quanto deciso dal Gip, che aveva emesso ordinanza di misura cautelare attraverso la quale era vietato a tre S.r.l. di contrattare con la Pubblica Amministrazione, il Giudice di merito annullava la predetta ordinanza, ritenendo che le disposizioni di cui al D. Lgs. 231/2001 non potessero essere applicate alle tre S.r.l. sanzionate proprio in quanto società individuali e, quindi, per loro natura estranee all’ambito applicativo della norma.

La decisione della Corte e la distinzione tra società unipersonale e individuale

La Cassazione, nell’annullare l’ordinanza del Tribunale di Pescara, ha insistito nel differenziare le società unipersonali da quelle individuali, le quali ultime – sole – non potendo essere considerate alla stregua di enti sono da escludersi dall’applicabilità delle disposizioni del D. Lgs. 231/2001.

In particolare, secondo i Giudici della Corte, la società unipersonale incarna invece un soggetto unico e distinto dal suo socio persona fisica, dotata quindi di una personalità autonoma da quella di quest’ultimo: gli Ermellini si occupano tra l’altro di indicare gli specifici requisiti in presenza delle quali la società unipersonale possa rispondere ai sensi del D.  Lgs. 231/2001.

Innanzitutto, la questione non si pone nei casi di società unipersonale partecipata da una società di capitali o di società unipersonali la cui complessità renda evidente l’esistenza di un centro di imputazione di interessi giuridici autonomo e indipendente rispetto a quello facente capo al singolo socio.

La Suprema Corte sottolinea poi che, nell’ambito di realtà di più piccole dimensioni, occorre invece effettuare un accertamento puntuale finalizzato ad individuare se sussistano i requisiti per affermare la responsabilità dell’ente riguardo alla società unipersonale a responsabilità limitata.

Ricadute pratico – operative sull’attività di compliance.

La Corte di Cassazione, alla luce di tutto quanto sopra esposto, ha concluso dunque evidenziando l’esigenza di un accertamento in concreto “del se, in presenza di una società unipersonale a responsabilità limitata, vi siano i presupposti per affermare la responsabilità dell’ente; un accertamento che non è indissolubilmente legato solo a criteri quantitativi, cioè alle dimensioni della impresa, di tipologia della struttura organizzativa della società, quanto, piuttosto, a criteri funzionali, fondati sulla impossibilità di distinguere un interesse dell’ente da quello della persona fisica che lo governa, e, dunque, sulla impossibilità d configurare una colpevolezza normativa dell’ente – di fatto inesigibile – disgiunta da quello dell’unico socio”.

Tale accertamento si basa sulla possibilità – o meno – di distinguere l’interesse dell’ente da quello della persona fisica che se ne occupa: sulla base di ciò si individuerà la configurabilità della colpevolezza normativa dell’ente, disgiunta da quella dell’unico socio.

Determinante sarà il criterio individuato dal D. Lgs. 231/2001, e, in particolare dall’art. 5, in base al quale si distingue tra interesse della Società e interesse della persona fisica. Ne deriva che, qualora si provi che la persona fisica abbia commesso l’illecito nell’interesse esclusivo proprio o di terzi, non vi può essere responsabilità dell’ente.

Secondo quanto stabilito dalla Corte, qualora il reato compiuto dalla persona fisica non sia riconducibile alla persona giuridica in quanto inesistente l’interesse dell’ente, non sarà necessario nemmeno verificare se sussista un vantaggio dello stesso.

Si tratta, quindi, di un’approfondita operazione che richiede un’attenta analisi dell’organizzazione della società, delle attività concretamente poste in essere, delle dimensioni dell’impresa, dei rapporti tra socio unico e società, dell’esistenza di un interesse sociale e del suo effettivo perseguimento.

Da un lato, vanno evitate eventuali violazioni del principio del “ne bis in idem” sostanziale, che si realizzerebbero imputando alla persona fisica un cumulo di sanzioni punitive per lo stesso fatto. D’altra parte, la Cassazione censura quelle situazioni in cui la persona fisica si sottragga alla responsabilità patrimoniale illimitata, costituendo una società unipersonale a responsabilità limitata, ma, al tempo stesso, eviti l’applicazione del D. Lgs. 231/2001, sostenendo di essere un’impresa individuale. Il fenomeno è quello della creazione di persone giuridiche di ridottissime dimensioni allo scopo di frammentare e polverizzare i rischi economici e “normativi”.

Responsabilità dei membri del Consiglio di Amministrazione nell’ambito degli infortuni sul lavoro

Recentemente la quarta Sezione Penale della Corte di Cassazione si è pronunciata relativamente al tema della responsabilità dei membri del Consiglio di Amministrazione (d’ora in poi CdA) nel caso di infortunio sul lavoro. Questi ultimi erano stati condannati per i reati di lesioni personali gravissime e omissione colposa di cautele o difese contro disastri o infortuni sul lavoro, (artt. 590, 451 c.p.), nonché per correlati reati contravvenzionali di cui al D.lgs. 81/08. (la pagina informativa si trova al seguente link).

Il Fatto

Nell’evento di cui al processo, un operaio impegnato nell’esecuzione delle normali mansioni assegnate veniva colpito, alle spalle, da un macchinario adibito alla adduzione di metallo fuso all’interno di un forno, rimanendo incastrato contro il forno stesso.

Secondo quanto descritto dai testimoni, nonché dalla stessa persona offesa, l’apparecchiatura non si era arrestata secondo l’iter produttivo consueto, provocando così il grave infortunio.

Le Corti di merito, sulla scorta degli atti e dell’istruttoria, avevano quindi ravvisato la penale responsabilità dei componenti del CdA a fronte dei reati contestati.

Il c.d. principio di effettività e la decisione della Corte

I tre componenti del CdA proponevano ricorso avverso la suddetta Sentenza.

In particolare, per quanto di interesse, la difesa della ricorrente M. evocava la falsa applicazione dell’art. 2 comma 1, lett. b) del D.Lgs. 81/2008 ed il vizio di motivazione, sottolineando che la stessa, sebbene componente del CdA, “svolgeva esclusivamente compiti di natura amministrativa e contabile, non esercitando in concreto funzioni datoriali, né avendo mai assunto alcuna responsabilità dell’organizzazione del lavoro e dell’unità produttiva. Sicchè, in forza del principio di effettività, che impone di assegnare la posizione di garanzia solo a chi svolga in concreto le funzioni di datore di lavoro, nessuna responsabilità può esserle attribuita nella causazione dell’infortunio.”

La ricorrente, dunque, riteneva di dovere essere esclusa dal novero dei soggetti responsabili dell’incolumità dei lavoratori sulla base del c.d. principio di effettività generato dall’art. 2 comma 1 del D.Lgs. 81/2008, secondo il quale “in tema di infortuni sul lavoro, l’individuazione dei soggetti destinatari della relativa normativa [datore di lavoro, dirigente, preposto] deve essere operata sulla base dell’effettività e concretezza delle mansioni e dei ruoli svolti” [Cass. Pen., Sez. IV, sent. n. 6025 del 20 aprile 1989] e “deve fondarsi non già sulla qualifica rivestita bensì sulle funzioni in concreto esercitate, che prevalgono, quindi, rispetto alla carica attribuita al soggetto (ossia alla sua funzione formale)” [Cass. Pen., Sez. Un., sent. n. 9874 del 14 ottobre 1992], come a dire che la mansione concretamente esercitata prevale sulla qualifica formale e apparente.

Secondo la difesa, quindi, il componente del CdA non può essere considerato titolare della posizione di garanzia del datore di lavoro solo per la carica che ricopre, quando, in realtà, non si occupa di organizzare l’azienda ma esclusivamente di contabilità.

La Corte di Cassazione, relativamente alla questione che inerisce all’individuazione della figura su cui gravano gli obblighi del datore di lavoro nelle società di capitali, ha ammesso che essa deve essere risolta facendo riferimento alla complessità dell’organizzazione aziendale.

La Corte, conclusivamente, nel rigettare il ricorso, ha quindi specificato che la responsabilità dell’imputata si basa sulla sua partecipazione all’organo deliberativo, titolare del potere decisionale ed organizzativo dell’impresa e del potere di spesa, che identificano, nel loro riflesso sul rapporto di lavoro, la figura del datore di lavoro, come delineata dal D. Lgs. 81/2008, senza che emergessero, nella fattispecie, deleghe espresse o ripartizioni formali attributive di compiti specifici.

Le ricadute pratico – operative sulle attività di compliance

Quanto alla redazione e aggiornamento del Modello Organizzativo aziendale, i princìpi emersi dalla decisione in oggetto suggeriscono di evidenziare puntualmente – tanto nella parte generale che nei singoli settori operativi – l’attribuzione esclusiva di incarichi organizzativi ai componenti dell’organo amministrativo, così da prevenire equivoci e sovrapposizioni, preferibilmente con riferimento a idonei atti deliberativi.

In questi ultimi, le deleghe dovranno essere necessariamente accompagnate anche dall’individuazione degli ambiti di autonomia decisionale e spesa del delegato.

Pur non venendo meno, come si è visto, l’inderogabile obbligo di vigilanza spettante per sua natura al CdA, ciò consentirà di ridimensionare il rischio di esposizione ad una responsabilità amplissima anche in contesti necessariamente caratterizzati, per ragioni tecniche o dimensionali, da articolazioni complesse e differenziate.

_________________________________________

Photo by mostafa meraji on Unsplash

Sequestro preventivo dell’intero compendio aziendale

In questa news di giurisprudenza riportiamo:

  • un breve riassunto della decisione in esame;
  • i riflessi sul concetto di “compendio aziendale”;
  • le ricadute operative sulla costruzione del Modello 231.

Corte di Cassazione, Sezione VI Penale, sentenza n. 8349 del 2 marzo 2021

La decisione ha dichiarato inammissibile un ricorso avverso il sequestro preventivo (in sede cautelare, quindi) del compendio aziendale, finalizzato alla confisca, emesso in forza delle disposizione di cui al D.Lgs 231/2001 nell’ambito di un procedimento penale connesso a reati inerenti il traffico di rifiuti e la frode nelle pubbliche forniture.

Organizzazione di impresa e beni strumentali alla commissione del reato

I reati contestati venivano realizzati, secondo il Tribunale di Catania autore dell’ordinanza di sequestro, all’interno di una effettiva “organizzazione di impresa”, in quanto emergeva agli atti che le società proprietarie dei beni strumentali – diverse S.r.l. e una S.p.A. – erano riconducibili a un unico soggetto e disponevano di fondi comuni.

In conseguenza, il suddetto Tribunale ordinava il sequestro preventivo di tutti i beni aziendali e di tutte le quote e azioni sociali di ciascuna impresa, in relazione all’illecito previsto dall’art. 25-undecies, lett. (f), del D. Lgs. 231/2001.

Ricorreva per Cassazione il soggetto imputato – molto probabilmente, anche se non noto dal testo della decisione, il legale rappresentante e/o il titolare di quote delle società – sostenendo che la riconducibilità al medesimo nucleo familiare delle società non poteva giustifica il provvedimento ablativo. Inoltre, si sostiene anche che il provvedimento avrebbe dovuto riguardare i soli mezzi impiegati per la commissione dell’illecito – traffico illecito di rifiuti – e non anche le quote e gli altri beni aziendali.

Non essendo stato possibile, per il Giudice cautelare, l’individuazione e l’isolamento dei beni utili a commettere gli illeciti, rispetto a quelli utilizzati per svolgere eventuali altre lecite attività di impresa, la Suprema corte ha confermato la decisione del Tribunale territoriale, statuendo che “l’ablazione non può che avere ad oggetto l’integralità del compendio aziendale e delle quote in quanto tutte strumentali alla realizzazione del delitto ex art. 452 – quaterdecies c.p.”.

Aspetti operativi del modello 231 a tutela dei beni aziendali

Dalla decisione in esame possiamo trarre alcuni spunti in merito sia alla utilità che alla impostazione operativa del Modello di Organizzazione, Gestione e Controllo (“MOGC”).

In primo luogo, l’adozione di tale modello certamente fornirebbe un valido appiglio atto a scongiurare che l’intero complesso aziendale sia sottoposto a sequestro preventivo, in quanto i controlli che il MOGC prevede, anche ove superati e/o violati nella commissione del reato, ben potrebbero permettere di porre rimedio alla “falla”, intervenendo con modifiche tempestive e così assicurando in molti casi all’imprenditore di poter dare continuità almeno a una parte delle attività aziendali.

In secondo luogo la decisione in esame lascia ipotizzare che, qualora il modello sia già vigente in azienda, si renda opportuno individuare al suo interno i “compartimenti” entro i quali ciascuna funzione, dipartimento e/o business line aziendale opera, al fine di poter sostenere – in caso di procedimento a carico – che solo una porzione del compendio aziendale sia stata interessata, salvando così la restante parte.

__________________________________

Credits: photo by Gloria Cretu on Unsplash

Redatto con la collaborazione dell’Avv. Alberto Scirè

Il valore della confisca in materia 231

In questa news di giurisprudenza riportiamo:

  • un breve riassunto della decisione;
  • gli aspetti relativi ai criteri di calcolo della sanzione inflitta in sede di merito
  • le ricadute operative sui beni aziendali in materia 231

Corte di Cassazione, Sezione Seconda Penale, Sentenza n. 7038 del 23 febbraio 2021

La Corte, nell’ affrontare il tema del calcolo dell’entità della confisca nei procedimenti a carico degli enti ai sensi del D.lgs. 231/2001, ha stabilito che “l’ammontare del profitto si calcola al netto degli interessi e della rivalutazione che sono voci rilevanti per la quantificazione del risarcimento del danno, ma non per l’identificazione del quantum lucrato attraverso la consumazione dell’illecito”.

Calcolo dell’ammontare del profitto nell’ambito della responsabilità amministrativa degli enti 

Nel giudizio di merito sotteso, la Corte di Appello di Catania (all’esito di un procedimento penale ex art. 316 c.p. – peculato mediante profitto dell’errore altrui- commesso dall’amministratore di due società e nell’interesse delle stesse) aveva determinato il profitto lucrato dagli Enti ai fini della confisca per equivalente, conteggiando gli indici di rivalutazione monetaria nonché gli interessi legali.

Il particolare, la Corte di appello di Catania si pronunciava a seguito dell’annullamento con rinvio disposto dalla VI sezione penale della Corte di cassazione e si impegnava al calcolo del profitto lucrato da ognuna delle due società relativamente al reato di cui all’art. 316 c.p.

I Giudici catanesi rideterminavano il profitto lucrato dalle società ricorrenti determinandolo applicando gli indici di rivalutazione monetaria e gli interessi legali.

Tra l’altro, nel loro approfondimento, si basavano su di una perizia immobiliare in base alla quale veniva individuato il valore degli immobili sequestrati come inferiore al profitto, propendendo quindi per l’integrale confisca.

Veniva, così, proposto ricorso da parte dei difensori delle società condannate per l’illecito di malversazione ai danni dello Stato (art. 24 D.Lgs. 231/2001) nel quale atto, in particolare, si sottolineava l’errore di calcolo relativamente al profitto da reato. I Giudici nomofilattici precisavano con la loro pronuncia che l’ammontare del profitto si calcola al netto degli interessi e della rivalutazione, che sono voci certamente rilevanti per la quantificazione del risarcimento del danno, ma non per l’identificazione del quantum lucrato attraverso la consumazione dell’illecito, limitata al vantaggio di immediata derivazione causale del reato.

Aspetti operativi del modello 231 a tutela dei beni aziendali

Dalla decisione in esame possiamo trarre alcuni spunti in merito sia alla utilità che alla impostazione operativa del Modello di Organizzazione, Gestione e Controllo (“MOGC”).

Innanzitutto, l’approvazione di un modello organizzativo idoneo a prevenire reati costituisce causa di esclusione della responsabilità dell’ente ai sensi del d.lgs. n. 231/2001. Nel caso in cui il procedimento sia già avviato, l’adozione di un Modello Organizzativo mitiga le conseguenze in capo all’ente della commissione del reato.

In particolare, rispetto al caso in esame, l’adozione di tale modello certamente fornirebbe un valore esimente che metterebbe al riparo la Società sia dalla pena principale che dalla pena accessoria della confisca, pur sempre prevista come sanzione dal D.Lgs 231/2001 e spesso ancora più afflittiva della pena principale per le sue gravose conseguenze economiche.

__________________________________

Credits: photo by Nicholas Santoianni on Unsplash