Negli ultimi anni si è registrato un crescente interesse da parte degli ordinamenti giuridici continentali per il fenomeno della responsabilità dell’ente e della compliance aziendale e, in particolare, per la regolamentazione dei relativi sistemi di CMS. Oltre alla ben nota regolamentazione italiana, svariati sono infatti gli ordinamenti giuridici comunitari che disciplinano la materia, come ad es. quello inglese con il UK Bribery Act del 2011 e quello spagnolo con la Ley Orgánica 5/2010 del 2010. L’ordinamento giuridico tedesco non conosce invece una regolamentazione normativa paragonabile al D.Lgs. 231/2001 e la materia è ancora alquanto frammentaria, disorganica e soggetta ad approcci che possono variare non solo in funzione del singolo Bundesland ma addirittura tra i diversi circondari di tribunale chiamati ad esprimersi sui singoli casi di specie. I richiami normativi ai quali si è assistito in materia di compliance aziendale hanno avuto ad oggetto soprattutto il § 33 WpHG, il § 25a KWG, il § 130 OWiG e l’art. 4.1.3 DCGK. La giurisprudenza tedesca ha cercato di colmare le lacune normative con diverse pronunce tra le quali le sentenze “Siemens/Neubürger” del 2013, “BSR” del 2009 e “BGH-Urteil zur Bußgeldbemessung” del 2017. Nello specifico, la sentenza “BSR” individua nel “Compliance Officer” una figura centrale, antropomorfa e direttamente responsabile per la compliance aziendale secondo il principio penalistico della “posizione di garante” in materia di reati omissivi (§ 13 StGB). La sentenza tralascia tuttavia di percorrere l’ultimo miglio e di stabilire se si tratti di una responsabilità derivante dalla natura di “garante di protezione” (Beschützergarant) ovvero di “garante di sorveglianza” (Überwachungsgarant). Su quella che potrebbe essere la possibile natura di tale responsabilità si cercherà dunque di formulare una prima sommaria ipotesi.
In recent years, continental legal systems have shown a growing interest for corporate responsibility, corporate compliance, and the regulation of CMS systems. In addition to the well-known Italian regulation, there are various European legal systems that deal with this issue, such as the English one with the Bribery Act of 2011 and the Spanish one with the Ley Orgánica 5/2010 of 2010. The German legal system, however, lacks a normative regulation comparable to the Legislative Decree 231/2001 and the subject is still somehow fragmented and subject to approaches that can vary not only from one Bundesland to the other but even among the different District Tribunals called to express themselves on individual cases. Provisions of law dealing with corporate compliance are § 33 WpHG, § 25a KWG, § 130 OWiG, and art. 4.1.3 DCGK. German jurisprudence has tried to fill the regulatory gaps with various rulings including the “Siemens/Neubürger” judgments of 2013, “BSR” of 2009 and “BGH-Urteil zur Bußgeldbemessung” of 2017. Specifically, the “BSR” judgment identifies the “Compliance Officer” as a central function, anthropomorphic and directly responsible for corporate compliance according to the criminal law principle of “guarantor position” in relation to crimes of omission (§ 13 StGB). However, the ruling fails to do the last mile and determines whether it is a liability arising from the nature of “guarantor of protection” (Beschützergarant) or “supervisor of surveillance” (Überwachungsgarant). Therefore, we will try to formulate a first summary hypothesis on what could be the possible nature of this responsibility.
Articoli Correlati: ordinamento tedesco - compliance evaluation - responsabilità amministrativa degli enti
I. Il crescente interesse per il fenomeno della responsabilità dell’ente e della compliance aziendale da parte degli ordinamenti giuridici continentali - II. La regolamentazione normativa frammentaria e disorganica dell’ordinamento tedesco - III. Il contributo della giurisprudenza tedesca - IV. Gli sviluppi dottrinali successivi alla giurisprudenza in materia di compliance e sistemi di CMS - V. Linee guida giurisprudenziali e dottrinali per la predisposizione di un sistema di CMS aziendale - VI. Note conclusive - NOTE
Negli ultimi due lustri si è registrato un crescente interesse da parte degli ordinamenti giuridici continentali per il fenomeno della responsabilità dell’ente e della compliance aziendale e, in particolare, per la regolamentazione dei relativi modelli organizzativi noti come CMS, acronimo di Compliance Management Systems [[1]]. Oltre alla ben nota regolamentazione italiana [[2]], svariati sono infatti gli ordinamenti giuridici comunitari che disciplinano la materia e che, con l’ausilio della rispettiva giurisprudenza nazionale, tentano di delineare linee guida più o meno concrete e più o meno efficaci per l’organizzazione dei relativi sistemi di CMS aziendali. Così, ad esempio, il UK Bribery Act del luglio 2011 [[3]], il quale, pur limitando il proprio raggio d’azione alla (sola) lotta alla corruzione, accende per la prima volta un faro sulla responsabilità penale d’impresa e rappresenta un importante tentativo di codificazione e regolamentazione di un aspetto – quello della corruzione appunto – talmente centrale nella compliance aziendale da aver rappresentato uno dei primi reati-presupposto codificati dal nostro stesso D.Lgs. 8 giugno 2001 n. 231. Anche l’ordinamento giuridico spagnolo registra, più o meno nello stesso periodo di entrata in vigore del UK Bribery Act, un tentativo di regolamentazione normativa della responsabilità d’impresa attraverso la novellazione del Código Penal nell’anno 2010 [[4]]. In entrambi i casi, la regolamentazione normativa non arriva a codificare linee guida sufficientemente certe e dettagliate da rappresentare una base giuridica sicura per l’elaborazione di sistemi di CMS. Tuttavia, pur consapevoli dei suddetti limiti, i citati ordinamenti rappresentano un precedente di interesse per quegli ulteriori ordinamenti, tra cui quello tedesco, ancora privi di una pur embrionale codificazione normativa in materia di responsabilità d’impresa e compliance aziendale [[5]].
L’ordinamento giuridico tedesco non conosce una regolamentazione normativa paragonabile al D.Lgs. 231/2001. La materia è ancora alquanto frammentaria, disorganica e soggetta ad approcci che possono variare non solo in funzione del singolo Bundesland ma addirittura tra i diversi circondari di tribunale chiamati ad esprimersi sui singoli casi di specie [[6]]. Obblighi di implementazione di sistemi di CMS sono stabiliti innanzitutto dal § 33 WpHG, acronimo di Wertpapierhandelsgesetz (la legge tedesca in materia di commercio di valori finanziari) [[7]], e dal § 25a KWG, acronimo di Kreditwesengesetz (la legge tedesca in materia di erogazione del credito) [[8]]. Tali norme si applicano tuttavia ai soli istituti di credito, finanziari e assicurativi e si limitano a prevedere un obbligo generico di dotarsi di un sistema di amministrazione e controllo (“eine ordnungsgemäße Geschäftsorganisation”) idoneo ad assicurare il rispetto della normativa vigente e in linea con le necessità derivanti dalla propria organizzazione aziendale (“gesetzliche Bestimmungen und betriebswirtschaftliche Notwendigkeiten”). Di applicazione più generale, ma altrettanto generico, è invece il § 130 OWiG, acronimo di Ordnungswidrigkeitengesetz (la legge tedesca in materia di infrazioni) [[9]], il quale sanziona il titolare d’impresa (“Unternehmensinhaber”) che dolosomante o colposamente omette di adottare i presidi di vigilanza (“Aufsichtsmaßnahmen”) necessari ad evitare infranzioni (“Zuwiderhandlungen gegen Pflichten”) che egli avrebbe dovuto e potuto prevenire mediante la dovuta e attesa vigilanza (“gehörige Aufsicht”) ovvero selezione di idoneo personale a tal fine [[10]]. Altra fonte normativa di interesse è il DCGK, acronimo di Deutscher Corporate Governance Kodex (il Codice Tedesco della Corportate Governance) [[11]]. La base giuridica del DCGK è data, per le società quotate in mercati regolamentati, dalla dichiarazione di equivalenza – la cd. Entsprechenserklärung – operata dal § 161, comma primo, secondo periodo, AktG, acronimo di Aktiengesetz (la legge azionaria tedesca). Tale dichiarazione conferisce al suddetto codice dignità di fonte giuridica primaria con la conseguenza [continua ..]
La ricostruzione sistematica del contributo dato dalla giurisprudenza tedesca al tentativo di colmare le lacune normative ereditate dal legislatore non può non dare atto di tre fondamentali decisioni rese negli ultimi dieci anni. Si tratta, in ordine sistematico più che cronologico, della sentenza cd. “Siemens/Neubürger” del Landgericht di Monaco di Baviera del 2013 [[20]], della sentenza cd. “Berliner Stadtreinigungsbetriebe (BSR)” del Bundesgerichtshof del 2009 [[21]] e della sentenza del 2017, anch’essa del Bundesgerichthof, relativa alla valutazione di un sistema di CMS ai fini della determinazione e quantificazione della relativa sanzione, la cd. “Entscheidung des BGH zur Berücksichtigung eines Compliance-Management-Systems bei der Bußgeldbemessung” [[22]]. a) La sentenza “Siemens/Neubürger” Come sostenuto da una parte della dottrina [[23]], il valore innovativo della sentenza de qua risiede innanzitutto nell’aver concettualizzato per la prima volta l’esistenza di un obbligo di fatto per le società per azioni tedesche di introdurre un sistema di CMS nonostante la sua mancata espressa codificazione normativa. La sentenza in commento traeva origine da una richiesta di risarcimento danni per un importo pari a 15 milioni di Euro nei confronti del Chief Financial Officer (Finanzvorstand) della Siemens AG, in quanto alcuni dipendenti della stessa si erano resi colpevoli del reato di corruzione di pubblico ufficiale straniero. Nei motivi della sentenza, il Langericht bavarese colse l’occasione per delineare espressamente due principi cardine imprescindibili per un efficace sistema di CMS e per descrivere i relativi obblighi a carico dell’organo amministrativo della società.[24] Il primo dei due principi richiamati è la cd. Legalitätspflicht (l’obbligo di legalità), che impone al singolo membro dell’organo amministrativo di organizzare e di verificare che l’attività d’impresa sia esercitata in modo tale da evitare qualunque violazione di legge. Ciascun membro dell’organo amministrativo sarà dunque direttamente responsabile uti singuli verso l’esterno per qualunque violazione di legge inerente alla propria funzione e posta a [continua ..]
Oltre alla giurisprudenza di cui si è sommariamente dato conto nel paragrafo che precede, anche la dottrina tedesca ha avuto modo di sviluppare ed approfondire principi in materia di compliance e sistemi di CMS. a) La dottrina successiva relativa alla sentenza “Siemens/Neubürger” Con riferimento all’obbligo di legalità (Legalitätspflicht), per la prima volta enunciato dalla sentenza “Siemens/Neubürger”, che imponeva al singolo membro dell’organo amministrativo di organizzare e di verificare che l’attività d’impresa fosse esercitata in modo tale da evitare qualunque violazione di legge prevedendo una responsabilità diretta uti singuli del membro dell’organo amministrativo verso l’esterno per qualunque violazione di legge inerente alla propria funzione e posta a carico della società come soggetto giuridico unitario, tale principio è stato ribadito da un successivo pacifico ed unanime indirizzo dottrinale, il quale sostenne che qualunque violazione di legge da parte di un membro dell’organo amministrativo verso l’esterno (im Außenverhältnis) rappresenta al contempo una violazione degli obblighi di tale membro dell’organo amministrativo nel rapporto interno (im Innenverältnis) [[40]]. La dottrina successiva alla sentenza in esame ha inoltre sottolineato, che il perimetro teleologico del Legalitätsprinzip non si esaurisce nella (sola) attività gestoria “attiva” posta in essere dal membro dell’organo amministrativo, ma comprende altresì (i) la vigilanza sull’operato degli altri amministratori qualora il membro in questione non abbia preso parte all’atto o alla decisione lesivi del principio di legalità [[41]], e (ii) l’organizzazione e la vigilanza sull’operato di tutti i dipendenti e collaboratori aziendali che, quantunque estranei all’organo amministrativo, risultino gerarchicamente sottoposti e funzionalmente dipendenti da uno o più singoli componenti dell’organo amministrativo stesso [[42]]. Nel sostenere quanto precede, il Landgericht sembrava tuttavia non riuscire a mettere a fuoco un chiaro ed unanime riferimento normativo muovendosi tra il § 91, comma secondo, AktG, in virtù del quale incombe sul membro dell’organo [continua ..]
Rilevato che la normativa tedesca in materia di compliance è tutt’ora scarna e relativamente frammentaria, le pronunce giurisprudenziali e i successivi interventi dottrinali di cui si è cercato di dare sommariamente conto hanno tentato di forgiare, più o meno consapevolmente, una serie di linee guida per la predisposizione di un efficace sistema di CMS aziendale. Il punto di partenza è dato dal fatto che gli amministratori – e, in particolare, il cd. top management – facciano della compliance aziendale un tema centrale della cultura aziendale (“tone from the top”) [[82]]. Per assolvere a tale funzione in modo costante e continuativa, saranno necessarie risorse personali ed economiche, la conoscenza di eventuali violazioni pregresse e l’eliminazione di qualunque lacuna nel sistema di verifica e controllo [[83]]. La concreta implementazione del sistema di CMS non potrà prescindere da una successiva fase di analisi dei rischi (Risikoanalyse). Il contenuto e le risorse dovranno essere stabiliti e commisurate alla concreta situazione di rischio aziendale [[84]], analizzando, in particolare, i casi di vulnerabilità ricorrente (die systematische Anfälligkeit) [[85]]. A livello pratico, tale analisi dovrà prendere le mosse dalle cd. “interviste” con i responsabili interni dell’azienda e terminare con una vera e propria mappatura del rischio (Risikolandkarte)[[86]], che costituirà la base informativa sulla quale costruire l’intero sistema di CMS [[87]]. Giurisprudenza e dottrina concordano nel ritenere che la responsabilità associata ai sistemi di compliance sia da riportare all’organo amministrativo nella sua unitarietà “organica” (Gesamtvorstand). A livello operativo, l’esecuzione di compiti associati all’efficace gestione di un sistema di CMS può essere delegata sia in modo “orizzontale”, suddivisa cioè tra i vari membri dell’organo amministrativo, che in modo “verticale”, delegandoli a funzioni aziendali gerarchicamente subordinate all’organo amministrativo o a singoli membri dello stesso. Di frequente l’organo amministrativo procede – come già rilevato – alla nomina di un apposito “Compliance Officer” ovvero, nelle [continua ..]
Il sistema della compliance aziendale di diritto tedesco si presenta, nel complesso, ancora molto frammentario e disorganico. Le pronunce giurisprudenziali degli ultimi anni e la dottrina sviluppatasi sulla scia delle stesse, hanno di certo contribuito ad elaborare delle linee guida più puntuali, ma sono ancora ben lontane dall’aver forgiato un sistema organico di responsabilità dell’ente dipendente da reato paragonabile a quello previsto nell’ordinamento italiano. Al contrario, la (tutt’ora) persistente centralità della figura e della responsabilità del “Compliance Officer” – che, diversamente dal nostro organismo di vigilanza ex D.Lgs. 231/2001, risponde personalmente della mancata adozione, implementazione e aggiornamento del sistema di CMS – è indice di un approccio eccessivamente antropomorfo nella distribuzione delle responsabilità da compliance da parte dell’ordinamento tedesco. Il tentativo di riportare la struttura e l’organizzazione della compliance aziendale a principi dell’ordinamento (soprattutto penale) noti e consolidati nonché la riluttanza del legislatore tedesco nel voler regolamentare esaustivamente un settore così complesso e centrale per una qualsiasi economia industrializzata, non depongono per un autentico superamento del principio del “societas delinquere non potest”. Vi è dunque da chiedersi se tale riluttanza normativa e la mancata puntuale elencazione di specifici reati-presupposto sia da riportare alle pressioni subite dalla forte lobby industriale del Mittelstand, restia a qualunque forma di controllo, oppure se, al contrario, il fatto che il sistema non preveda specifici reati-presupposto lasci aperta la possibilità di ricondurre nell’alveo della compliance aziendale tedesca qualunque reato penale, anche se non espressamente previsto come reato-presupposto. In quest’ultimo caso, il sistema della compliance aziendale tedesco si presenterebbe come un “sistema aperto” risultando addirittura più ampio di quello previsto dal nostro D.Lgs. 231/2001. Qualunque sia la possibile lettura della scelta del legislatore tedesco, i plurimi interventi giurisprudenziali e le esigenze chiarificatorie della dottrina degli ultimi dieci anni sono indice inequivocabile di una certa [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 1972-9243 - EISSN 2421-7166 Rivista di Diritto Societario (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
