1. L’emergenza epidemiologica per il contagio da COVID-19 ha determinato un’incalzante produzione normativa, votata a dettare i ritmi del governo della crisi. Al di là della ribalta giornalistica e mediatica di ipotesi di responsabilità degli enti ai sensi del d. lgs. 231/2001, occorre interrogarsi sulla possibilità in concreto di declinare gli strumenti di prevenzione e controllo dello stesso d. lgs. 231/2001 entro quella che si è ormai palesata come un’inedita situazione di frontiera del diritto e della società e, in particolare, nella cosiddetta prima fase dell’emergenza.

Il problema riguarda, in concreto, il rapporto tra la sfuggente fisionomia della normativa emergenziale e gli strumenti di prevenzione e controllo che, a livello di disciplina generale, il d. lgs. 231/2001 predispone e impone alla societas; nonché, in prospettiva, tra la stessa congerie di iniziative normative, a loro volta condizionate dalla pressione economica e dall’esigenza di una tempestiva risposta del sistema istituzionale, e la resistenza delle garanzie e degli strumenti di compliance dell’ente (in particolare, per quanto riguarda i modelli di organizzazione e gestione e il ruolo dell’Organismo di Vigilanza).

2. Posto che le fattispecie di reato-presupposto che potrebbero essere in ipotesi ascritte all’ente sono molteplici, un punto di osservazione particolarmente significativo è certo rappresentato da quelle di cui all’art. 25 septies del d. lgs. 231/2001, ossia omicidio colposo e lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e della sicurezza nei luoghi di lavoro (come previsti dal d. lgs. 9 aprile 2008, n. 81, Testo Unico in materia di salute e sicurezza nei luoghi di lavoro)[1]: in concreto, viene in rilievo l’ipotesi di diffusione del contagio, in un contesto di presunte violazioni della normativa antinfortunistica. L’art. 42, co. 2 del d.l. 17 marzo 2020, n. 18 prevede ora espressamente che il contagio da COVID-19 in ambito lavorativo debba essere trattato dal datore di lavoro come infortunio[2].

Entro tale perimetro, occorre chiedersi quali siano gli effettivi strumenti di controllo e di prevenzione che l’ente avrebbe potuto attivare e – più in generale – quali siano le possibilità di interazione tra la funzione di compliance e l’attuale quadro normativo di riferimento. Il tema che si vuole qui provare a indagare è quello della gestione di un rischio in concreto non prevedibile, vale a dire di eventi che travalichino, ipso facto, la normale disciplina dei controlli e della prevenzione allestiti dal d. lgs. 231/2001. La natura stessa dell’evento scatenante ha infatti posto all’ordine del giorno un problema di emergenza del processo legislativo e dell’organizzazione istituzionale: e tale evidenza si riverbera in modo tanto più pressante sull’attività che gli enti nella cosiddetta prima fase delle misure anticontagio.

Da tale punto di vista si possono rintracciare all’interno del “sistema 231” alcuni profili per i quali il rapporto tra strumenti emergenziali da un lato e possibilità per l’ente di attuare in concreto strumenti di prevenzione e controllo del rischio si pone in termini particolarmente problematici.

3. Un primo vaglio critico riguarda senz’altro i criteri di imputazione di cui all’art. 5 comma 1, d. lgs. 231/2001, ove si afferma che l’ente è responsabile per i reati commessi «nel suo interesse o a suo vantaggio».

Secondo l’insegnamento della Suprema Corte, che qui solo sinteticamente si richiama, l’interesse dell’ente al reato infortunistico è rappresentato in modo pregnante dal fatto che «l’evento dannoso è il risultato della mancata adozione di specifiche misure di prevenzione a fronte di un interesse rilevante dell’ente a porre in essere l’attività pericolosa nonostante la condotta colposa»; entro tale logica, pertanto, si colloca anche il beneficio economico, identificabile nella circostanza che «la mancata adozione delle misure di prevenzione deve aver garantito all’ente un vantaggio sia in termini di concreto risultato economico dell’attività posta in essere senza le dovute cautele sia, e soprattutto, in termini di risparmio dei costi attuato mediante l’omissione delle misure in questione»[3]. Oltre ai due criteri di imputazione qui richiamati, la responsabilità dell’ente presuppone una sua carenza sul piano organizzativo, che vale a fondare una responsabilità propria della persona morale accanto a quella della persona fisica[4].

Proprio tali criteri di imputazione mostrano ora, nella situazione emergenziale, una declinazione tutt’altro che scontata: ciò in quanto l’interpretazione dei criteri imputativi, orientata a rinvenire un beneficio economico nella condotta dell’ente, e della stessa categoria della carenza sul piano organizzativo dovrebbero verosimilmente essere rimodulati alla luce delle logiche e dei tempi della pandemia.

Infatti, sul versante dell’interesse e del vantaggio, sia sul piano fattuale che su quello probatorio, le eventuali condotte dell’ente (ad esempio, nell’adozione di presidi antinfortunistici) potrebbero essere state necessitate dalla situazione di emergenza e non già rivolte a un intento di risparmio e quindi al conseguimento di un beneficio economico, Sul versante della carenza organizzativa, quand’anche si inquadrasse il deficit organizzativo non come risultato economico, ma come «interesse a mantenere in essere una organizzazione carente»[5], si giungerebbe d’altronde alla paradossale conclusione di attribuire alla persona giuridica un coefficiente di matrice colposa per un fatto che non era in concreto né prevedibile, né evitabile. Qui appare evidente che la realtà supera l’impianto del d. lgs. 231/2001 e determina per l’ente una rincorsa di mezzi e di strumenti (solo che si pensi, a titolo meramente esemplificativo,  al tema della difficoltà di approvvigionamento di dispositivi di protezione individuali).

4. Nella stessa zona d’ombra si pone anche la possibilità di declinare in concreto l’efficacia esimente del modello di organizzazione e gestione che è prevista, in linea generale, dall’art. 6, co. 1, lett. a e b del d. lgs. 231/2001. Come noto, tale norma prevede che «l’ente non risponde se prova che l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi» e (lett. b) «il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo».

Alla luce delle cadenze strettissime dei provvedimenti emergenziali e di fronte alle conseguenze economiche e sociali di un climax epidemiologico imprevedibile nelle sue reali dimensioni, si potrebbe profilare una limitazione delle garanzie difensive dell’ente sotto il profilo della piena idoneità del modello di organizzazione e gestione (che si rivelerebbe, appunto, limitato dall’imprevedibilità del rischio epidemiologico in esame) a integrare la circostanza esimente della responsabilità dell’ente ai sensi dell’art. 6, co. 1 lett. a del d. lgs. 231/2001. Nella prospettiva del processo a carico dell’ente, infatti, va rilevato che la societas che si trovava all’epoca dei fatti nella condizione di non poter adottare un presidio preventivo realmente completo (ed efficace) per quello che si è palesato come evento di proporzioni imponderabili potrebbe vedere il proprio diritto di difesa limitato da un modello di organizzazione e gestione privo di un’idonea mappatura del rischio specifico sotto il profilo COVID-19 e, pertanto, esposto al pericolo di vedere integrata nel processo solo parzialmente la circostanza impeditiva della responsabilità dell’ente prevista dal già citato art. 6, co. 1 lett. a del d. lgs. 231/2001. Infatti, è evidente che la mappatura del rischio specifico e la predisposizione di protocolli e di best practices puntuali non è attività che l’ente avrebbe potuto ex ante gestire autonomamente: ciò in quanto, nella prima fase dell’emergenza, l’ente si è trovato, in rerum natura, nell’impossibilità di predisporre adeguatamente una strategia di prevenzione e di controllo tal quale, a livello di disciplina generale, il d. lgs. 231/2001 consentirebbe[6].

In tal senso, il quesito è se la gestione del rischio-contagio (palesatosi, nella prima fase dell’emergenza, in modo inedito) potesse essere tempestivamente affrontata dall’ente oppure se la natura stessa dell’evento emergenziale possa e debba dar luogo – come sembra di potersi ipotizzare – a una rimodulazione dei criteri di imputazione oggettivi e degli stessi contenuti del modello di organizzazione e gestione.

Il problema riguarda anche il dovere di curare l’aggiornamento del modello da parte dell’Organismo di Vigilanza nel contesto emergenziale: a tal proposito, non sembrerebbe configurabile un vero e proprio dovere di aggiornamento del modello di organizzazione e gestione per il solo profilarsi dell’emergenza e quindi nella sua cosiddetta prima fase[7].

D’altro canto, il fatto che il Governo abbia previsto soltanto il 14 marzo scorso la costituzione ad hoc di un Comitato di crisi interno all’azienda[8] ben dimostra che anche da parte del legislatore sia stata percepita in itinere la necessità di dotare gli attori pubblici e privati di strumenti ulteriori e diversi rispetto agli organi di controllo già previsti dalla disciplina generale[9]. Allo stesso modo – e sempre con riferimento all’Organismo di Vigilanza – appare nei fatti senz’altro problematica la gestione dei flussi informativi in relazione al rispetto delle misure di contenimento sanitario prescritte dalle varie Autorità nazionali e regionali, e la stessa funzione di internal audit in relazione alla situazione verificatasi[10].

In tal senso non appare del tutto azzardato ipotizzare che, quanto alla prima fase dell’emergenza, il ruolo del modello di organizzazione e gestione dovrà essere valutato con criteri che tengano conto della natura stessa dell’evento emergenziale. Da tale punto di vista, inoltre, l’ambito applicativo dei modelli potrebbe risultare verosimilmente orientato (proprio a causa dell’impossibilità di realizzare una attività preventiva specifica per la prima fase dell’emergenza) non già in funzione preventiva, ma semmai in funzione di una riduzione delle eventuali sanzioni a carico dell’ente (art. 12, co. 2, lett. b d. lgs. 231/2001) o, ancora, e con particolare riferimento alla materia cautelare (art. 17, co. 1, lett. b), per quanto attiene l’eliminazione delle carenze organizzative mediante «l’adozione e l’attuazione di modelli organizzativi idonei a prevenire reati della specie di quello verificatosi».  

D’altra parte la stessa lettera del d. lgs. 231/2001 e in particolare dell’art. 6, che disciplina il contenuto dei modelli di organizzazione dell’ente, potrebbe risultare limitata proprio dal carattere di imponderabilità dell’evento: in tal senso il maggiore vulnus alla possibilità per l’ente di dotarsi di un efficace modello di organizzazione e gestione (e, per tale via, di dimostrare la circostanza di esclusione della responsabilità) potrebbe annidarsi proprio nelle «esigenze» di prevenzione del rischio individuate al secondo comma dell’art. 6, ossia la previsione di «specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire» (ivi, lett. b) e l’individuazione delle «modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati» (lett. c).

5. Ma rivolgendo lo sguardo più in generale all’organo apicale dell’ente, la fattispecie dell’art. 25 septies d. lgs. 231/2001 pone in questione anche un dovere di aggiornamento del DVR (Documento di Valutazione del Rischio), previsto dal d. lgs. 81/2008, in quanto obbligo non delegabile del datore di lavoro persona fisica, nonché attività ricompresa nella mappatura e nella valutazione del rischi legati alla salute e alla sicurezza dei luoghi di lavoro: l’art. 30 del d. lgs. 81/2008 prescrive infatti che il modello di organizzazione ex d. lgs. 231/2001 debba essere «adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici relativi»[11]. Anche in questo caso – come sopra rilevato – la scansione temporale della normativa dell’emergenza pone in ipotesi un vulnus non trascurabile alla possibilità per l’ente di attuare in concreto l’aggiornamento del documento per un rischio epidemiologico non prevedibile[12]. A ciò si aggiunga l’impossibilità di far fronte nella prima fase dell’emergenza all’obbligo di formazione dei lavoratori, previsto dallo stesso d. lgs. 81/2008 e che rientra nelle attività alle quali l’ente è chiamato per attuare la prevenzione specifica dei reati-presupposto dell’art. 25 septies, proprio nell’ipotesi di contagio da COVID-19 derivante da violazione delle norme antinfortunistiche.

Ciò tenendo anche conto che le attività in oggetto non rappresentano un compito solitario dell’organo apicale, ma richiedono il coinvolgimento delle varie figure preposte all’attuazione e al rispetto della normativa antinfortunistica, tra i quali il responsabile del servizio di prevenzione e protezione[13].

6. La funzione di controllo e di prevenzione del rischio dell’ente appare quindi superata dalla natura delle circostanze appunto emergenziali. D’altro canto, a valle del d.l. 23 febbraio 2020, n. 6[14] bisogna attendere il D.P.C.M. dell’11 marzo 2020 perché sia previsto che (art. 1, co. 7, lettera d) le aziende «assumano protocolli di sicurezza anticontagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale»[15]. Ma, appunto, si tratta di indicazioni emanate mentre l’emergenza è già ampiamente in atto e le cadenze, pur strettissime, dei provvedimenti (oltre ai decreti della Presidenza del Consiglio, anche gli strumenti di natura partecipativa, come il Protocollo sopra citato)[16] non elidono il precedente segmento temporale, corrispondente alla fase aurorale dell’emergenza, nel quale non avrebbe certo potuto rientrare nell’attività di prevenzione da parte dell’ente. 

Il mosaico di fonti normative, emanate nel gorgo dell’emergenza, impone una duplice riflessione: da un lato, nel cono d’ombra della prima fase emergenziale, la tendenziale imprevedibilità si traduce in impossibilità di dotarsi ex ante di un modello di organizzazione e gestione con sufficiente efficacia preventiva; dall’altro, in prospettiva della situazione della cosiddetta seconda fase, si pone il problema di coordinare le eventuali previsioni e i protocolli del modello di organizzazione con la normativa di riferimento.

In questo secondo segmento temporale si potrebbero dunque collocare in modo cogente l’aggiornamento del modello e l’attività dell’Organismo di Vigilanza.

Emerge così, in concreto, una sorta di spartiacque di tempestività degli interventi: entro il quale occorrerà verificare in concreto se il work in progress delle istituzioni per arginare e disciplinare l’emergenza sul versante normativo abbia lasciato un adeguato margine all’ente per adempiere all’attività preventiva, anche in termini di adeguata informazione e di disponibilità di risorse.

Proprio in relazione all’impossibilità di dotarsi di un modello in funzione preventiva (e dunque di assolvere appieno la circostanza di esclusione della responsabilità dell’ente prevista dall’art. 6, co. 1 del d. lgs. 231/2001), potrebbe intuirsi all’orizzonte uno scivolamento del paradigma della prevenzione d’impresa (di cui il modello di organizzazione e gestione è uno degli elementi principali) da gestione del rischio a presunzione di colpa, con conseguente annichilimento delle garanzie che il d. lgs. 231/2001 accorda all’ente stesso[17]. Viceversa, proprio tale impossibilità, nei fatti, di adempiere la funzione preventiva potrebbe portare a escludere (o, almeno, a circoscrivere) la responsabilità dell’ente nella prima fase emergenziale.

Come anticipato in premessa, il quesito finisce così per sconfinare nel rapporto tra un ipotetico procedimento a carico dell’ente ex d. lgs. 231/2001 e un corredo normativo che risulta affidato a fonti per loro natura instabili, stante l’inevitabile ricorso alla decretazione e a provvedimenti di rango secondario[18].

Non solo il microsistema normativo del d. lgs. 231/2001, ma anche le garanzie di matrice penalistica che lo stesso decreto accorda all’ente finirebbero, infatti, per risultare parzialmente limitate dalla legislazione emergenziale. Se il governo della crisi ha imposto necessariamente il ricorso a strumenti normativi parcellizzati, finalizzati ad affrontare le contingenze mutevoli dell’emergenza sanitaria, per contro il procedimento a carico dell’ente (destinato, per espresso disegno, a confluire nel processo penale) non potrà tradursi in una presunzione di colpa a carico dell’ente, obliando tutte le garanzie previste dalla disciplina generale.

Al contrario un’indicazione certamente positiva che pare rinvenirsi dagli strumenti normativi e dalle linee guida recentemente adottate è quella della gestione partecipata del rischio epidemiologico e della connessa attività di prevenzione. Si tratta di uno strumento che, nella cosiddetta imminente “fase 2” dell’emergenza, potrà consentire una migliore realizzazione dell’attitudine dell’ente alla compliance. Resta ferma, nella prospettiva di futuri procedimenti a carico dell’ente e dell’accertamento di eventuali responsabilità della persona giuridica, la difficoltà di gestire la convivenza tra la disciplina del d. lgs. 231/2001, con le garanzie e gli strumenti di gestione del rischio che esso prevede, e l’assetto instabile della normativa emergenziale nei mesi corrispondenti alla prima fase dell’emergenza.