Studio BeP - NEWS 20 Immagine copertina libro FB

di FRANZINA BILARDO – 

Il recente Decreto Legislativo n. 184/2021 ha apportato una duplice modifica normativa. Nello specifico, attraverso tale provvedimento, rubricato “Attuazione della direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti”, il Legislatore è voluto intervenire sul noto e sempre più allarmante fenomeno delle azioni/attività a carattere manipolativo riguardanti gli strumenti di pagamento e i flussi monetari digitali (bancomat, carte di credito, carte ricaricabili, POS, internet banking, etc.).

Detta operazione di politica legislativa ha reso necessario la modifica del codice penale, attraverso:

  1. l’ampliamento per integrazione dell’art. 493 ter p. con la conseguente precisazione che la falsificazione punibile riguarda non solo le “carte di credito” ma anche qualsiasi strumento di pagamento lato sensu “digitale” e diverso dal contante;
  2. l’introduzione del nuovo reato di cui all’art. 493 quater c.p., finalizzato alla punizione di chi, in chiave di evidente sfruttamento economico, produce e/o commercializza i sofisticati strumenti e programmi finalizzati a questo tipo di falsificazione;
  3. l’estensione del reato di frode informatica di cui all’art. 640 ter, attraverso la previsione di una ulteriore aggravante nel caso in cui il fatto illecito produca un trasferimento di denaro, di valore monetario o di valuta virtuale.

Intendiamo in questa sede, focalizzare l’attenzione sulle conseguenze applicative dell’altra (pur richiamata) importante disposizione del D.Lgs. 184/2021, ovvero l’introduzione dell’art. 25 octies.1 nel Decreto Legislativo 231/2001 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300), ai fini della necessità di aggiornamento dei Modelli di Organizzazione, Gestione e Controllo previsti dall’art. 6 dello stesso Decreto.

Da questo punto di vista, il presente articolo costituisce l’ideale integrazione del libro “Prevenzione e gestione del rischio negli enti pubblici e privati” (stampato in epoca antecedente alla promulgazione del D.Lgs. 184/2021), nel quale le tematiche sul D.Lgs. 231/2001 sono trattate nella Parte Prima, Capitolo II.

Aggiornamenti dei Modelli 231 in relazioni ai nuovi reati presupposti

Per comprendere appieno l’esatta rilevanza pratica di una norma di legge che introduca un nuovo reato nel D.Lgs. 231/2001 (nel nostro caso, il D.Lgs. 184/2021), va ricordato che, affinché sia operante la specifica esimente da responsabilità che lo stesso Decreto prevede all’art. 6[1], è necessario che l’ente si doti di un Modello di Organizzazione costantemente aggiornato in ordine ai reati presupposti, con l’ulteriore condizione che questi ultimi dovranno essere anche stabilmente monitorati nella loro vigenza ed attualità.

Ne deriva che l’aggiornamento di un Modello 231 in relazione ai possibili mutamente organizzativi interni o ai reati da prevenire, rappresenta la condizione essenziale ed imprescindibile alla cui stregua lo stesso Modello potrà ritenersi efficace e idoneo alla prevenzione di un reato (rectius, a rivestire efficacia esimente della responsabilità).

A monte, tra le caratteristiche del D.Lgs. 231/2001 v’è quella secondo cui la responsabilità degli enti, e quindi il raggio di azione preventiva dei Modelli 231, non riguarda tutti i reati dell’ordinamento giuridico o del codice penale ma solo ed esclusivamente i reati presupposti, ossia quelli richiamati in via espressa dal Legislatore nel corpo normativo dello stesso Decreto Legislativo.

Ciò dipende dal fatto che, anche per la responsabilità degli enti ex Decreto 231, valgono i comuni principi di riserva di legge interna e di tassatività delle fattispecie sanzionabili[2].

Sul piano giuridico, è fondamentale l’esatta individuazione del singolo reato presupposto[3] giacché sarà solo questo, e non altri, a potere tecnicamente legittimare l’affermazione di una “responsabilità amministrativa” dell’ente ai sensi del Decreto 231.

Anche la Suprema Corte di Cassazione è ferma sul punto: «In tema di responsabilità degli enti ai sensi del D.Lgs. n. 231/2001, il reato contestato alla persona fisica deve corrispondere a quello chiamato a fungere da presupposto per la responsabilità della persona giuridica» (Cass. pen., Sez. Un., 25 settembre 2014, n. 11170; conf. Cass. pen., sez. II, 29 settembre 2009, n. 41488).

In via generale, va chiarito che i reati presupposti per i quali il Decreto 231 richiede l’attività di prevenzione non sono introdotti ex novo, ma sono semplicemente richiamati (analogamente a quanto accade nelle “norme penali in bianco”, in cui la sanzione è determinata in via immediata e la prescrizione, ovvero lo specifico comportamento vietato, è indicata in via mediata e ab externo).

Nel Decreto 231, la determinazione esterna della prescrizione – ossia quella da cui discende la sanzione fissata dallo stesso Decreto (“sarai punito con la sanzione pecuniaria XX se commetti il reato YY”) – è rappresentata dal reato richiamato, che per tale ragione si chiama reato presupposto.

Reati presupposti dall’art. 25 octies.1 e relativa collocazione nei Modelli 231

Nello specifico caso dell’art. 25 octes.1 introdotto dal D.Lgs. 184/2021, i reati presupposti richiamati sono:

  • Indebito utilizzo e falsificazione di strumenti di pagamento diversi dai contanti (art. 493 ter c.p.);
  • Detenzione e diffusione di apparecchiature, dispositivi o programmi informatici diretti a commettere reati riguardanti strumenti di pagamento diversi dai contanti (art. 493 quater c.p.);
  • Frode informatica (art. 640 ter c.p.)

Delle tre fattispecie delittuose, va considerato che:

  • due (artt. 493 ter e 494 quater c.p.) sono totalmente “nuove” rispetto al corredo di tutti i reati presupposti, ossia quelli menzionati dal Decreto 231 agli articoli: 24, 24-bis, 24-ter, 25, 25-bis, 25-1, 25-ter, 25-quater, 25-quater.1, 25-quinquies, 25-sexies, 25-septies, 25-octies, 25-novies, 25-decies, 25-undecies, 25-duodecies, 25-terdecies, 25-quaterdecies, 25-quinquiesdecies, 25-sexiesdecies, cui oggi si aggiunge il neo art. 25 octies.1;
  • la frode informatica ex art. 640 ter invece, pur in termini parziali e nella versione prescrittrice antecedente alla modifica del D.Lgs. 184/2021, era già presupposta dall’art. 24.

Il dato di estrema importanza nell’ottica della comprensione applicativa del neo art. 25 octies.1. è che i tre richiamati reati presupposti, sebbene siano giuridicamente appartenenti a due diverse “famiglie” del codice penale (gli artt. 493 ter e 494 quater ai “Delitti contro la fede pubblica”, l’art. 640 ter ai “Delitti contro il patrimonio”):

  1. sono stati inseriti nello stesso art. 25 octies.1 del D.Lgs. 231/2001;
  2. sono stati allocati in posizione di immediata contiguità e prosecuzione funzionale all’art. 25 octies (e non ad esempio dell’art. 25 sexiesdecies, quale ultimo reato 231 introdotto nell’anno 2020[4]), che sostanzialmente si occupa dei delitti afferenti alla prevenzione e al controllo dei flussi patrimoniali e finanziari.

Ciò – a parere di chi scrive – non è affatto casuale e riveste un preciso significato ai fini della strutturazione ed aggiornamento dei Modelli 231, nella misura in cui, implicitamente, indica le aree organizzative e i processi di lavoro maggiormente sensibili ed idealmente a “rischio” di commissione degli stessi reati.

Si tratta di una logica comunemente seguita nella gestione dei Modelli 231, come quando – ad esempio – la rubrica “reati societari” dell’art. 25 ter del Decreto 231 si riferisce, all’evidenza, alla prevenzione ed al controllo dei reati societari di cui agli artt. 2621 e ss del codice civile, da cui scaturisce la consequenziale necessità di attenzionare e predisporre specifici strumenti di salvaguardia nell’ambito dell’attività dell’ente che riguarda la redazione dei bilanci, la veridicità delle scritture contabili, la genuinità della documentazione societaria, etc.

La conferma di tale chiave di lettura è data dal fatto che l’art. 25 octies.1 introdotto nel Decreto 231 porta la rubrica “Delitti in materia di strumenti di pagamento diversi dai contanti; dunque, è lo stesso Legislatore ad indirizzare, nell’aggiornamento dei Modelli 231, verso quelle aree organizzative dell’ente (e processi di lavoro e specifiche funzioni aziendali) che si occupano di gestire, controllare e monitorare gli strumenti di pagamento diversi dal contante.

Non è, insomma, involontaria l’allocazione della nuova disposizione in contiguità con l’art. 25 octies, considerato che anche questa norma è sostanzialmente rivolta alla gestione, controllo e monitoraggio, dei flussi patrimoniali e finanziari, previa definizione degli opportuni presidi preventivi (protocolli, procedure, istruzioni operative e azioni analoghe) che afferiscono alla gestione, diretta o indiretta, degli strumenti di pagamento (in entrata o in uscita) e dei movimenti monetari.

Reato di frode informatica ex art. 640 ter c.p. e Modelli 231

Si è prima detto che, tra i principi cardini del D.Lgs. 231/2001, vi è quello della riserva di legge interna e della tassatività delle fattispecie sanzionabili.

Questi principi si riflettono in modo immediato sulla posizione del reato di frode informatica nell’ambito del Decreto 231.

Da ricordare, al riguardo, che tale delitto era stato già introdotto nel 2001 quale reato presupposto della versione originaria del Decreto 231 – esattamente nell’art. 24[5] – ma con una rilevanza ridotta, ovvero solo se commesso «in danno dello Stato o di altro ente pubblico» (ipotesi di danno che è stato poi esteso all’ “Unione Europea” con il D.Lgs. 75/2020). In altri termini, non era – e continua a rimanere tale – giuridicamente punibile ex D.Lgs. 231/2001 una eventuale frode informatica in danno di un privato.

La rilevanza solo parziale (ossia attraverso un richiamo circoscritto) di un reato presupposto non è, in realtà, evenienza nuova nell’ambito del D.Lgs. 231/2001. Si considerino infatti, quali ipotesi analoghe: la truffa di cui all’art. 24, rilevante solo se «in danno dello Stato o di un altro ente pubblico o dell’Unione Europea»; il peculato e l’abuso d’ufficio di cui all’art. 25[6], punibile solo «quando il fatto offende gli interessi finanziari dell’Unione Europea»; buona parte dei reati ambientali di cui all’art. 25 undecies, spesso ritenuti rilevanti ai fini della responsabilità da 231 solo se rientranti in alcuni specifici commi dei richiamati reati presupposti; alcune fattispecie tributarie, introdotte quali nuovi reati presupposti dal D.Lgs. 14 luglio 2020 n. 75 ove siano «commessi nell’ambito di sistemi fraudolenti transfrontalieri e al fine di evadere l’imposta sul valore aggiunto per un importo complessivo non inferiore a dieci milioni di euro»[7]

Con il D.Lgs. 184/2021 il reato di frode informatica ex art. 640 ter c.p. viene re-introdotto nel D.Lgs. 231/2001 attraverso il nuovo art. 25 octies.1. Spontaneo chiedersi, se tale re-introduzione muti l’estensione applicativa dell’art. 640 ter c.p. quale reato presupposto dal succitato art. 24, ovvero oltre la richiamata eventualità di commissione «in danno dello Stato o di altro ente pubblico o dell’Unione Europea». La risposta è: assolutamente no. Tale soluzione sarebbe oggettivamente incompatibile con la lettera della Legge (v. l’art. 3 del D.Lgs. 184/2021), la quale non interviene minimamente sull’art. 24 del D.Lgs. 231/2001, né dispone alcuna estensione applicativa del richiamato reato presupposto. In conclusione, la frode informatica rimane presente nel D.Lgs. 231/2001 nelle sue due distinte ed autonome “versioni”:

  • nell’art. 24, quale reato punibile nella sua previsione integrale, ma solo se commesso in danno dello Stato o di altro ente pubblico o dell’Unione Europea;
  • nell’art. 25 octies, quale reato punibile anche nei confronti di un privato, ma a condizione che sia prospettabile l’aggravante di un fatto illecito che abbia prodotto un trasferimento di denaro, di valore monetario o di valuta virtuale.

Note

[1] L’ente non risponde se prova che l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione idonei a prevenire reati della specie di quello verificatosi.

[2] Art. 2 (Principio di legalità) «1. L’ente non può essere ritenuto responsabile per un fatto costituente reato se la sua responsabilità amministrativa in relazione a quel reato e le relative sanzioni non sono espressamente previste da una legge entrata in vigore prima della commissione del fatto»; Art. 3 (Successione di leggi) «1. L’ente non può essere ritenuto responsabile per un fatto che secondo una legge posteriore non costituisce più reato o in relazione al quale non è più prevista la responsabilità amministrativa dell’ente, e, se vi è stata condanna, ne cessano l’esecuzione e gli effetti giuridici. 2. Se la legge del tempo in cui è stato commesso l’illecito e le successive sono diverse, si applica quella le cui disposizioni sono più favorevoli, salvo che sia intervenuta pronuncia irrevocabile».

[3] L’elencazione dei reati presupposti a cui il Decreto 231 aggancia le specifiche sanzioni da “responsabilità amministrativa” è contenuta nella Sezione III dello stesso provvedimento di legge (artt. 24 e ss.).

[4] V. D.Lgs. 14 luglio 2020, n. 75

[5] rubricato “Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico»

[6] Si tratta dell’ultima introduzione normativa nel Decreto 231, ad opera del D.Lgs. 14 luglio 2020 n. 75 (Attuazione della direttiva (UE) 2017/1371, relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale).

[7] V. gli artt. 4, 5 e 10 quater del D.Lgs. 74/2000, aggiornato al D.L. 26 ottobre 2019 n. 124 per come modificato in sede di conversione dalla Legge 19 dicembre 2019 n. 157.