Menu

Modello di Organizzazione, Gestione e Controllo

(In vigore dal 19 dicembre 2024, ultimo aggiornamento 19 dicembre 2024)

Parte Generale

INDICE

Glossario
1. Profili generali
2. Il Decreto Legislativo n. 231/2001: natura della responsabilità e soggetti interessati
3. Sanzioni amministrative comminabili alla società
4. Perché la scelta di adottare il Modello di organizzazione, gestione e controllo
5. Contenuti del Decreto e reati 231
5.1. Ambito soggettivo e necessità che il reato sia commesso nell’interesse o a vantaggio della società
5.2. Tipologia di reati dal cui verificarsi dipende la responsabilità amministrativa della società
5.3. Reati commessi all’estero
6. Mappatura delle aree aziendali a rischio di commissione dei reati 231
7. Struttura generale dei protocolli
8. Organismo di vigilanza e obblighi informativi
8.1. Composizione e regole
8.2. Funzioni dell’Organismo di Vigilanza: reporting nei confronti degli organi societari
8.3. Informativa all’Organismo di Vigilanza
8.3.1. Obblighi di informazione
8.3.2. Segnalazioni di illeciti o di violazioni del Modello – c.d. Whistleblowing
9. Sistema disciplinare
9.1. Sanzioni per i lavoratori dipendenti
9.2. Misure nei confronti di Amministratori e Organo di controllo
9.3. Misure nei confronti dei fornitori, clienti, partner commerciali, collaboratori, consulenti
9.4. Misure nei confronti dell’Organismo di Vigilanza
10. Pubblicità, diffusione e aggiornamento del MOGC
10.1. La comunicazione ai dipendenti
10.2. La comunicazione ai clienti, fornitori, business partner, consulenti e Organo di controllo
10.3. La formazione
10.4. Aggiornamento del Modello

 

ALLEGATI

1. Visura della Società
2. Statuto della Società
3. Verbali di attribuzione deleghe
4. Assetto organizzativo
5. Procedura Whistleblowing

 

Glossario

Attività sensibile

Processo o attività che presenta rischi diretti di rilevanza penale in relazione ai Reati presupposto individuati dal Decreto 231; in altri termini, nell’ambito di tali processi/attività si potrebbero, in linea teorica, prefigurare le condizioni o le occasioni per la commissione degli illeciti.

 

Attività strumentale

Attività che, pur non presentando rischi diretti di rilevanza penale, se combinata con le attività direttamente sensibili, possono supportare la realizzazione del reato e sono quindi funzionali alla condotta illecita.

 

Autorità

Autorità Giudiziaria, Istituzioni e Pubbliche Amministrazioni locali, nazionali ed estere, «Garante della privacy» e altre Autorità di vigilanza italiane ed estere.

 

D.Lgs. n. 231/2001 (o Decreto)

Il Decreto Legislativo del 8 giugno 2001 n. 231, recante «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300», e successive modifiche ed integrazioni.

 

Destinatari

Soggetti che interagiscono con la Società per ragioni d’affari: gli amministratori, i soci, i dipendenti, i collaboratori ed ogni altro diverso soggetto se ed in quanto interagisce con DATAFLOW SECURITY SRL.

 

Enti

Società ed enti forniti di personalità giuridica ed associazioni, anche prive di personalità giuridica.

 

MOGC

Modello di organizzazione, gestione e controllo ex art. 6, co.1, lett. a), del D.Lgs. n. 231/2001, di seguito anche il «Modello» o «Modello di organizzazione».

 

Organo deliberativo

Per «organo deliberativo» della Società si intende il Consiglio di Amministrazione di DATAFLOW SECURITY SRL o il diverso sistema di amministrazione che potrà essere adottato dalla Società.

 

Organismo di Vigilanza

Organismo dotato di autonomi poteri di vigilanza e di controllo, a cui è affidata la responsabilità di vigilare sul corretto funzionamento e sull’adeguata osservanza del Modello 231, dotato dei requisiti di cui all’art. 6, co. 1, lett. b) del D.Lgs. n. 231/2001 e deputato a proporne la necessità di aggiornamento.

 

Organo di Controllo

Si intende l’Organo di Revisione.

 

Procedure

Usi e consuetudini/istruzioni operative/regolamenti/protocolli finalizzati a definire le modalità di realizzazione di una specifica attività o processo e che costituiscono il relativo sistema normativo interno.

 

Reati

Reati (di seguito anche «reati presupposto») per i quali, attualmente, il D.Lgs. n. 231/2001 prevede la responsabilità amministrativa degli enti.

 

Segnalazione

Per «segnalazione» si intende qualsiasi notizia avente ad oggetto presunti rilievi, irregolarità, violazioni, comportamenti e fatti censurabili, condotte illecite rilevanti ai sensi del D.Lgs. n. 231/2001 o comunque qualsiasi pratica non conforme a quanto stabilito nel Modello di organizzazione adottato dalla Società (di cui il Codice etico costituisce parte integrante).

 

Sistema Disciplinare

Insieme delle misure sanzionatorie la cui applicazione è prevista in caso di violazione del Modello 231.

 

Soggetti Apicali

Persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente, responsabili di una sua unità organizzativa dotati di autonomia finanziaria e funzionale, nonché persone che esercitano di fatto la gestione ed il controllo aziendale [ex D.Lgs. n. 231/2001, art. 5, co. 1, lettera a)].

 

Sottoposti

Persone sottoposte alla direzione o alla vigilanza dei Soggetti Apicali [ex D.Lgs. n. 231/2001, art. 5, co. 1, lett. b)].

 

Terzi

A mero titolo esemplificativo e non esaustivo, fornitori, consulenti, controparti negoziali e terzi in genere, non riconducibili alla definizione di Sottoposti data l’assenza del vincolo di subordinazione.

 

1. Profili generali

Il panorama socioeconomico internazionale mostra dinamiche di mercato in continua evoluzione. Le aziende operanti in tale contesto si adattano a questo evolversi, plasmando le proprie strutture societarie su modelli organizzativi gestionali «complessi».
Alla luce di questo dato il Legislatore nazionale, così come quello di altri Paesi, ha dovuto adeguare il sistema normativo vigente da un lato alle esigenze imposte dal mercato, dall’altro a determinati obblighi di trasparenza necessari a garantire la correttezza delle operazioni poste in essere dalle aziende stesse, avendo soprattutto riguardo ai rapporti tra queste e i soggetti terzi.

In Italia, nello specifico, è stato introdotto il D. Lgs. 8 giugno 2001, n. 231 (di seguito il «D.Lgs. n. 231/2001» o il «Decreto») che, in attuazione della Legge Delega 29 settembre 2000, n. 300, ha introdotto in Italia la «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica»; il Decreto si inserisce in un ampio processo legislativo di lotta alla corruzione e ha adeguato la normativa italiana in materia di responsabilità delle persone giuridiche ad alcune Convenzioni Internazionali precedentemente sottoscritte dall’Italia. Il D.Lgs. n. 231/2001 stabilisce un regime di responsabilità amministrativa (equiparabile sostanzialmente alla responsabilità penale) a carico delle persone giuridiche, che va ad aggiungersi alla responsabilità penale della persona fisica autrice materiale del reato e che mira a coinvolgere, nella punizione dello stesso, gli enti nel cui interesse o vantaggio tale reato è stato compiuto. Questo tipo di responsabilità amministrativa sussiste unicamente per i reati per i quali tale regime di addebito è espressamente previsto dal Decreto.

Aspetto caratteristico del D.Lgs. n. 231/2001 è l’attribuzione di un valore esimente al Modello di organizzazione, gestione e controllo adottato dall’ente, la cui concreta applicazione può dunque costituire causa legittima di non punibilità. Nello specifico, qualora il Modello organizzativo sia stato efficacemente adottato prima della commissione dell’illecito può consentire di escludere la responsabilità dell’ente; diversamente, nel caso in cui sia stato predisposto dopo la commissione dell’illecito e, prima della dichiarazione di apertura del dibattimento, esso presenta un’attenuante della responsabilità, nel senso che può ben rappresentare un atteggiamento cooperativo dell’ente, utile ai fini della commisurazione delle sanzioni.

Il Modello di organizzazione, gestione e controllo (di seguito anche «MOGC») di DATAFLOW SECURITY SRL (di seguito anche «DATAFLOW») si compone di una «Parte generale», di una «Parte speciale», e di protocolli e allegati che ne costituiscono parte integrante.
Nella presente «Parte generale» sono indicati i tratti essenziali del D.Lgs. n. 231/2001, le caratteristiche rilevanti di DATAFLOW e l’attività istruttoria svolta per la predisposizione del Modello.

La successiva «Parte speciale» contiene gli aspetti propriamente operativi del Modello e propone i reati potenzialmente commissibili nella realtà aziendale di DATAFLOW, nonché i relativi protocolli di prevenzione. Il sistema dei protocolli aziendali, analizzati (laddove già esistenti) e implementati nella fase di stesura di questo Modello, si ispira alle best practice nazionali e internazionali in materia di sistemi di controllo interno, al Sistema di controllo del rischio fiscale di cui al Provvedimento direttoriale n. 54337 dell’Agenzia delle Entrate del 14/04/2016, ed è in linea con le relative Linee Guida di Confindustria nonché con le previsioni della circolare della Guardia Di Finanza n. 83607/2012 e ss.ii. Il complesso dei protocolli aziendali si può dividere in:

(i) protocolli generali, che regolano il sistema di controllo interno della Società, ossia le componenti chiave del MOGC (sistema organizzativo, sistema dei poteri, sistema dei processi, codice di comportamento, sistema informativo da e verso l’Organismo di Vigilanza, formazione e diffusione del Modello);
(ii) protocolli e procedure specifici, che si rivolgono a ciascun processo/attività identificati come «sensibili» e «strumentali» in sede di valutazione del rischio.

I principi guida ispiratori dei comportamenti di quanti operano in DATAFLOW e intrattengono relazioni d’affari con la Società sono contenuti nel Codice etico, che costituisce parte integrante di questo Modello.

Al presente Modello sono infine allegati alcuni documenti che, aiutando a comprendere com’è strutturata DATAFLOW, guidano nell’interpretazione della scelta dei protocolli con finalità preventiva che DATAFLOW si impegna ad attuare, nonché i documenti con le relative istruzioni operative già adottati dalla Società.

 

2. Il Decreto Legislativo n. 231/2001: natura della responsabilità e soggetti interessati

Il Decreto Legislativo 8 giugno 2001 n. 231 ha introdotto nell’ordinamento giuridico italiano una nuova responsabilità a carico delle società, degli enti forniti di personalità giuridica e delle associazioni anche prive di personalità giuridica.

La responsabilità è di tipo amministrativo, ma discende e dipende dal verificarsi di uno dei reati presupposto, commessi (anche solo sotto la forma del «tentativo» (1) ) nell’interesse o a vantaggio dell’ente. Il D.Lgs. n. 231/2001, anche a seguito di numerose e disorganiche novelle legislative, dettaglia i reati alla cui commissione è connessa la responsabilità amministrativa dell’ente (i c.d. «reati presupposto»).

In base al Decreto, qualora un soggetto commetta (o tenti di commettere) nell’interesse o a vantaggio di un ente un determinato reato, da tale condotta discenderà non solo la responsabilità penale del soggetto che lo ha commesso, ma anche la responsabilità amministrativa dell’ente nel cui interesse o vantaggio tale reato è stato commesso.

DATAFLOW rientra pienamente fra i soggetti destinatari delle prescrizioni contenute nel D.Lgs. n. 231/2001.

 

3. Sanzioni amministrative comminabili alla società

La responsabilità della società si aggiunge alla responsabilità personale del soggetto che ha commesso il fatto.
Una volta accertata la responsabilità dell’ente, dunque, il D.Lgs. n. 231/2001 prevede quattro tipologie di sanzioni:

  1. sanzioni amministrative pecuniarie: per ciascun reato viene predisposta una quota che deve necessariamente rispettare un quantum minimo e massimo. Questo si attesta tra le 100 e le 1000 quote (in base alla gravità del fatto, al grado di responsabilità dell’ente, all’attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti) e può avere un valore tra i Euro 258,00 ed Euro 1.549,00 (tale importo è fissato «sulla base delle condizioni economiche e patrimoniali dell’ente allo scopo di assicurare l’efficacia della sanzione», ai sensi degli artt. 10 e 11, co. 2, D. Lgs. n. 231/01). Come affermato al punto 5.1. della Relazione al Decreto, «Quanto alle modalità di accertamento delle condizioni economiche e patrimoniali dell’ente, il giudice potrà avvalersi dei bilanci o delle altre scritture comunque idonee a fotografare tali condizioni. In taluni casi, la prova potrà essere conseguita anche tenendo in considerazione le dimensioni dell’ente e la sua posizione sul mercato. (…) Il giudice non potrà fare a meno di calarsi, con l’ausilio di consulenti, nella realtà dell’impresa, dove potrà attingere anche le informazioni relative allo stato di solidità economica, finanziaria e patrimoniale dell’ente».
    L’articolo 12 del D.Lgs. n. 231/2001 prevede alcuni casi di riduzione della sanzione pecuniaria. Essi sono schematicamente riassunti nella seguente tabella, con indicazione della riduzione apportata e dei presupposti per l’applicazione della stessa. In ogni caso, la sanzione pecuniaria non può essere inferiore a Euro 10.329,00.

 

 

Presupposti

1/2

(non superiore ad Euro 103.291,00)

  • L’autore del reato ha commesso il fatto nel prevalente interesse proprio o di terzi e l’ente non ne ha ricavato un vantaggio o ne ha ricavato un vantaggio minimo;

  • il danno patrimoniale cagionato è di particolare tenuità.

da 1/3 a 1/2

(Prima della dichiarazione di apertura del dibattimento di primo grado)

  • L’ente ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato, o si è comunque efficacemente adoperato in tal senso;

  • è stato adottato e reso operativo un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi.

da 1/2 a 2/3

(Prima della dichiarazione di apertura del dibattimento di primo grado e se ricorrono entrambe le seguenti condizioni)

  • L’ente ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato ovvero si è comunque efficacemente adoperato in tal senso; 

  • è stato attuato e reso operativo un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi.

2. sanzioni interdittive: ricomprendono l’interdizione dall’esercizio dell’attività; la sospensione o la revoca delle autorizzazioni licenze o concessioni funzionali alla commissione dell’illecito; il divieto di contrattare con la Pubblica Amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; infine, il divieto di pubblicizzare beni o servizi.

Le sanzioni interdittive si applicano in relazione ai reati per i quali sono espressamente previste, qualora ricorra almeno una delle seguenti condizioni:

a. l’ente ha tratto dal reato un profitto di rilevante entità e il reato è stato commesso da soggetti in posizione apicale oppure da soggetti sottoposti all’altrui direzione; in questo caso, la commissione del reato è conseguenza di gravi carenze organizzative o è stata agevolata da tali carenze;
b. in caso di reiterazione degli illeciti (2).

La durata di tali sanzioni non è inferiore a tre mesi e superiore a due anni, salvo quanto previsto dall’art. 25, co. 5, del D.Lgs. n. 231/2001 per i delitti di concussione, corruzione propria, corruzione in atti giudiziari, induzione indebita a dare o promettere utilità e istigazione alla corruzione propria; possono essere definitive, ad esempio in caso di reiterazione del reato (3).

L’applicazione delle sanzioni interdittive è altresì esclusa qualora l’ente abbia posto in essere le condotte riparatorie previste dall’art. 17 del D.Lgs. n. 231/01 e, più precisamente, quando concorrono le seguenti condizioni:

    • «l’ente ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato ovvero si è comunque efficacemente adoperato in tal senso»;
    • «l’ente ha eliminato le carenze organizzative che hanno determinato il reato mediante l’adozione e l’attuazione di modelli organizzativi idonei a prevenire reati della specie di quello verificatosi»;
    • «l’ente ha messo a disposizione il profitto conseguito ai fini della confisca».

La scelta della misura da applicare e della sua durata viene effettuata dal giudice sulla base dei criteri in precedenza indicati per la commisurazione della sanzione pecuniaria, «tenendo conto dell’idoneità delle singole sanzioni a prevenire illeciti del tipo di quello commesso» (art. 14, D.Lgs. n. 231/2001).

3. la pubblicazione della sentenza: la pubblicazione della sentenza di condanna in uno o più giornali, per estratto o per intero, può essere disposta dal giudice unitamente all’affissione nel Comune dove l’ente ha la sede principale, quando è applicata una sanzione interdittiva. La pubblicazione è eseguita a cura della cancelleria del giudice competente e a spese dell’ente;

    • la confisca: nei confronti dell’ente è sempre disposta, con la sentenza di condanna, la confisca del prezzo o del profitto del reato, salvo che per la parte che può esser restituita al danneggiato. Sono fatti salvi i diritti acquisiti dai terzi in buona fede.
      Infine, si precisa che il giudice può altresì disporre:
    • il sequestro preventivo delle cose di cui è consentita la confisca, in conformità all’art. 53 del Decreto; ovvero,
    • il sequestro conservativo dei beni mobili ed immobili dell’ente qualora sia riscontrata la fondata ragione di ritenere che manchino o si disperdano le garanzie per il pagamento della sanzione pecuniaria, delle spese del procedimento o di altre somme dovute all’erario dello Stato, come previsto dall’art. 54 del Decreto.

 

(1)  Nei casi in cui i delitti sanzionati ai sensi del D.Lgs. n. 231/2001 vengano commessi in forma «tentata», le sanzioni pecuniarie (in termini di importo) e le sanzioni interdittive (in termini di durata) sono ridotte da un terzo alla metà (artt. 12 e 26 D.Lgs. n. 231/01).

(2) Ai sensi dell’art. 20 del D. Lgs. n. 231/2001, «si ha reiterazione quanto l’ente, già condannato in via definitiva almeno una volta per un illecito dipendente da reato, ne commette un altro nei cinque anni successivi alla condanna definitiva».
 
(3) La L. n. 3/2019 ha aumentato fino a sette anni la durata massima delle sanzioni interdittive previste per i delitti di concussione, corruzione propria, corruzione in atti giudiziari, induzione indebita a dare o promettere utilità e istigazione alla corruzione propria qualora commessi da soggetti in posizione apicale [soggetti di cui all’art. 5, comma 1, lett. a) del D. Lgs. n. 231/2001].
 

4. Perché la scelta di adottare il Modello di organizzazione, gestione e controllo

Il D.Lgs. n. 231/2001, in caso di commissione dei reati compresi nel «catalogo 231» e al verificarsi di determinate condizioni specificatamente previste dal Decreto, consente di escludere in capo all’ente la responsabilità amministrativa, con conseguente accertamento della responsabilità penale esclusivamente in capo al soggetto agente che ha commesso l’illecito.

Le misure preventive previste dal Decreto sono costituite dai c.d. Modelli di organizzazione, gestione e controllo: si tratta di un complesso di norme organizzative e di condotta con il quale la Società si detta determinate regole da rispettare in tutte le attività svolte, idoneo a prevenire la commissione degli illeciti.

Se tali Modelli risultano adottati e realmente ed efficacemente attuati, la Società potrà ottenere – nei suoi confronti, e cioè a prescindere dalla responsabilità della persona fisica che abbia commesso il fatto – l’archiviazione del procedimento ovvero una sentenza di non luogo a procedere o, ancora, una sentenza di esclusione della propria responsabilità amministrativa.

Non ultimo, oltre all’effetto esimente, l’adozione del Modello costituisce un’occasione di crescita e sviluppo per le società che possono migliorare la propria immagine pubblica – accrescendo la competitività sui mercati – tant’è che l’adozione del MOGC è promossa, ad esempio, ai fini del riconoscimento del «rating di legalità» di cui alla L. n. 62 del 2012.

Con l’adozione e l’efficace attuazione del Modello di organizzazione, gestione e controllo, DATAFLOW intende istituire uno strumento di miglioramento della propria organizzazione che possa offrire, nel contempo, l’esimente espressamente disposta dal D.Lgs. n. 231/2001.
Il presente Modello si propone di:

  • infondere, in tutti coloro che operano in nome e per conto di DATAFLOW, la consapevolezza di poter incorrere, in caso di violazione delle disposizioni di legge, in un illecito passibile di sanzioni personali e a carico della Società (se questa ha tratto vantaggio dalla commissione del reato, o comunque se quest’ultimo è stato commesso nel suo interesse);
  • ribadire che DATAFLOW condanna i comportamenti illeciti, in quanto contrari alle disposizioni di legge e ai principi a cui la Società intende attenersi nell’esercizio della propria attività;
  • consentire azioni di monitoraggio e controllo interne, indirizzate in particolare agli ambiti aziendali maggiormente esposti al rischio di commissione dei reati previsti dal D.Lgs. n. 231/2001, onde prevenire e contrastare la commissione dei reati stessi.
 

5. Contenuti del Decreto e reati 231

5.1 Ambito soggettivo e necessità che il reato sia commesso nell’interesse o a vantaggio della società

Sono previsti due diversi tipi di relazioni che «collegano» l’ente, nel cui interesse o vantaggio può essere commesso un reato, e l’autore del reato medesimo.

L’art. 5 del Decreto fa riferimento, al co. 1, ai c.d. soggetti in posizione apicale, ovvero «persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente». Il legislatore richiama, con tale definizione, i componenti dell’organo amministrativo, i direttori generali, i dirigenti, i responsabili preposti a sedi secondarie, i responsabili di divisione dotati di autonomia finanziaria, oltre che i soggetti che esercitano, anche di fatto, la gestione ed il controllo dell’ente.

Il co. 2 del citato art. 5 fa invece riferimento alle «persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)».

La differente posizione dei soggetti eventualmente coinvolti nella commissione dei reati comporta diversi criteri di attribuzione della responsabilità in capo all’ente medesimo.

L’art. 6 del Decreto pone a carico dell’ente l’onere di provare l’avvenuta adozione delle misure preventive solo nel caso in cui l’autore del reato sia persona posta in posizione cosiddetta «apicale». In altre parole, se il reato è stato commesso da un soggetto in posizione apicale, quest’ultima è presunta dalla legge colpevole in quanto tali soggetti esprimono e rappresentano la politica e, quindi, la volontà dell’ente stesso; sulla società grava l’onere di dimostrare l’avvenuta adozione del Modello di organizzazione, gestione e controllo, la nomina dell’Organismo di Vigilanza, l’efficace esercizio da parte di questo delle funzioni di controllo sue proprie, l’elusione fraudolenta del Modello di organizzazione, gestione e controllo da parte dell’autore materiale del reato (c.d. culpa in eligendo, direttamente riferibile alla società e conseguente alle scelte organizzative e gestionali di essa).

Diversamente, se il reato è commesso da un soggetto sottoposto all’altrui direzione, la responsabilità della società sussiste solo se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza da parte degli organi dirigenti (c.d. culpa in vigilando ascrivibile a coloro che, preposti al controllo, non hanno vigilato affatto o non hanno ben vigilato), che dovrà essere provata dalla pubblica accusa e che è esclusa dalla preventiva adozione di un idoneo Modello di organizzazione, gestione e controllo.

Come si vede, in entrambi i casi occorre che la realizzazione di uno dei reati presupposto sia espressione di un deficit di organizzazione e sia quindi «rimproverabile» alla società. La differenza sta nella efficacia esimente dell’adozione del Modello 231, che si presume idoneo a consentire l’impedimento del reato solo con riferimento ai sottoposti. Con riferimento, invece, agli apicali, il corretto funzionamento di un idoneo Modello di organizzazione, gestione e controllo è requisito necessario, ma non sufficiente ad escludere la responsabilità amministrativa della società, perché l’apicale deve aver eluso fraudolentemente il predetto Modello.

La condotta illecita nella quale si sostanzia il reato presupposto della responsabilità amministrativa della società dev’essere, però, realizzata nell’interesse (e che quindi esista l’intenzionalità) o a vantaggio di questa. La società risponde, dunque, solo degli illeciti amministrativi dipendenti da reati commessi nel suo interesse o a suo vantaggio (rilevante anche se «indiretto»), i quali possono anche non avere un connotato strettamente economico o patrimoniale.

Tanto che il D.Lgs. n. 231 del 2001 prevede espressamente che, laddove la persona fisica abbia agito nell’interesse esclusivo proprio o di terzi, in capo alla società non sorge alcuna responsabilità. E ciò anche se, per ipotesi, essa avesse casualmente tratto un vantaggio dalla condotta illecita.

Il rischio, invece, che la responsabilità amministrativa della società sorga quando l’apicale o il sottoposto colposamente concorrano nel reato (anche solo contravvenzionale) del terzo va coordinato con la necessità che la società abbia tratto un vantaggio dalla condotta illecita e, nel contempo, impone alla società di adottare tutte le procedure operative necessarie ad accertare che i terzi con i quali essa collabora o ai quali affida determinate operazioni siano affidabili e possiedano tutti i requisiti (ad esempio, autorizzazioni, licenze, ecc.) necessari allo svolgimento dell’incarico.

 
5.2. Tipologia di reati dal cui verificarsi dipende la responsabilità amministrativa della società

La Sezione III del D.Lgs. n. 231/2001 dettaglia i reati per i quali è configurabile la «responsabilità amministrativa» degli enti, specificandone la misura delle sanzioni.
Alla data di adozione del presente Modello, le categorie di reato richiamate dal Decreto sono di seguito descritte:

  • reati contro la Pubblica Amministrazione, ex art. 24 D.Lgs. n. 231/2001, rubricato «Indebita percezione di erogazioni, truffa in danno dello Stato, di un ente pubblico o dell’Unione europea o per il conseguimento di erogazioni pubbliche, frode informatica in danno dello Stato o di un ente pubblico e frode nelle pubbliche forniture»;
  • «Delitti informatici e trattamento illecito di dati», ex art. 24-bis D.Lgs. n. 231/2001;
  • «Delitti di criminalità organizzata», ex art. 24-ter D.Lgs. n. 231/2001;
  • «Reati transnazionali», ex artt. 3 e 10 L. n. 146/2006;
  • «Peculato, concussione, induzione indebita a dare o promettere utilità, corruzione e abuso d’ufficio», ex art. 25 D.Lgs. n. 231/2001;
  • «Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento», ex art. 25 – bis D.Lgs. n. 231/2001;
  • «Delitti contro l’industria e il commercio», ex art. 25-bis1 D.Lgs. n. 231/2001;
  • «Reati societari», ex art. 25-ter D.Lgs. n. 231/2001;
  • «Delitti con finalità di terrorismo o di eversione dell’ordine democratico», ex art. 25-quater D.Lgs. n. 231/2001;
  • «Pratiche di mutilazione degli organi genitali femminili», ex art. 25-quater1 D.Lgs. n. 231/2001;
  • «Delitti contro la personalità individuale», ex art. 25-quinquies D.Lgs. n. 231/2001;
  • «Abusi di mercato», ex art . 25-sexies D.Lgs. n. 231/2001;
  • «Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro», ex art. 25-septies D.Lgs. n. 231/2001;
  • «Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio», ex art. 25-octies D.Lgs. n. 231/2001;
  • «Delitti in materia di strumenti di pagamento diversi dai contanti», ex art.25-octies.1 D. Lgs. n. 231/2001;
  • «Delitti in materia di violazione del diritto d’autore», ex art. 25-novies D.Lgs. n. 231/2001;
  • «Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria», ex art. 25-decies D.Lgs. n. 231/2001;
  • «Reati ambientali», ex art. 25-undecies D.Lgs. n. 231/2001;
  • «Impiego di cittadini di paesi terzi il cui soggiorno è irregolare», ex art. 25-duodecies D.Lgs. n. 231/2001;
  • «Razzismo e xenofobia», ex art. 25-terdecies D.Lgs. n. 231/2001;
  • «Frode in competizioni sportive, esercizio abusivo di gioco o di scommessa, e giochi d’azzardo esercitati a mezzo di apparecchi vietati», ex art. 25-quaterdecies D.Lgs. n. 231/2001;
  • «Reati tributari», ex art. 25-quinquiesdecies D.Lgs. n. 231/2001;
  • «Contrabbando», ex art. 25 – sexiesdecies D.Lgs. n. 231/2001;
  • «Delitti contro il Patrimonio Culturale», ex art.25-septiesdecies D.Lgs. n. 231/2001;
  • «Riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici», ex art. 25-duodevicies D.Lgs. n. 231/2001.

 

Nel dettaglio, i reati dal cui verificarsi dipende il sorgere della responsabilità amministrativa della società sono vari e segnatamente: malversazione a danno dello Stato, indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche, delitti informatici e trattamento illecito di dati, delitti di criminalità organizzata, illegale fabbricazione o detenzione di armi, concussione, corruzione, induzione indebita a dare o promettere utilità, traffico di influenze illecite, falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento, delitti contro l’industria e il commercio, contraffazione di marchi, reati societari previsti dal codice civile (false comunicazioni sociali, fatti di lieve entità e non punibilità per fatti di particolare tenuità, false comunicazioni sociali delle società quotate, falso in prospetto (4), falsità nelle relazioni o nelle comunicazioni delle società di revisione, impedito controllo, formazione fittizia del capitale, indebita restituzione dei conferimenti, illegale ripartizione degli utili e delle riserve, illecite operazioni sulle azioni o quote sociali o della società controllante, operazioni in pregiudizio dei creditori, omessa comunicazione del conflitto di interessi, indebita ripartizione dei beni sociali da parte dei liquidatori, corruzione tra privati, istigazione alla corruzione tra privati, false o omesse dichiarazioni per il rilascio del certificato preliminare previsto dalla normativa attuativa della direttiva (UE) 2019/2121, del Parlamento europeo e del Consiglio del 27 novembre 2019 , illecita influenza sull’assemblea, aggiotaggio, ostacolo all’esercizio delle funzioni, delle autorità pubbliche di vigilanza), delitti con finalità di terrorismo o di eversione dell’ordine democratico, pratiche di mutilazione degli organi genitali femminili delitti contro la personalità individuale, abusi di mercato, omicidio colposo e lesioni colpose gravi o gravissime commesse con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro, ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, autoriciclaggio, delitti in materia di strumenti di pagamento diversi dai contanti, delitti in materia di violazione del diritto d’autore, induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria, reati ambientali, impiego di cittadini di paesi terzi il cui soggiorno è irregolare (tra cui il reato di intermediazione illecita e sfruttamento del lavoro), reati transnazionali, razzismo e xenofobia; frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi d’azzardo esercitati a mezzo di apparecchi vietati, reati tributari, reati di contrabbando di cui al Testo Unico Doganale, delitti contro il patrimonio culturale, riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Alcune tipologie di reato contemplate nel D.Lgs. n. 231/2001 si dubita fortemente possano essere commesse nel contesto dell’attività imprenditoriale della Società. DATAFLOW ha tuttavia scelto di adottare e condividere le misure di prevenzione delle condotte illecite, anche potenzialmente non commissibili nell’interesse o vantaggio dell’Ente. Tali condotte ed i relativi presidi saranno distintamente trattati nella «Parte speciale».

(4) Il reato di «Falso in prospetto» era originariamente previsto dall’art. 2623 c.c., abrogato dall’art. 34 della Legge n. 262 del 2005 («Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari»), che lo ha riprodotto, con alcune modificazioni, nell’art. 173 – bis del TUF. La migrazione di questa fattispecie delittuosa dalla disciplina codicistica a quella del TUF ha comportato diversi problemi di coordinamento tra la norma abrogata e la nuova formulazione, anche in relazione alle disposizioni di cui al D.Lgs. n. 231 del 2001, dato che l’art. 25 – ter, comma 1, lett. d) mantiene in vigore un rinvio ad una norma oramai abrogata e una distinzione tra contravvenzione e delitto oggi inesistente. A causa del mancato coordinamento tra la legge abrogativa e il Decreto, è controversa l’applicabilità della responsabilità amministrativa degli enti ex D.Lgs. n. 231 del 2001 con riferimento a tale fattispecie delittuosa.

(5) Previsione inserita dall’art. 55, co. 1, lett. c), D.Lgs. 2.3.2023 n. 19, pubblicato in G.U. 7.3.2023 n. 56. Ai sensi del successivo art. 56, co. 1, tale disposizione ha effetto a decorrere dal 3.7.2023. Per l’applicazione delle altre disposizioni che regolano le operazioni straordinarie transfrontaliere, si veda altresì l’art. 56, co. 3, 4 e 5.

 

5.3. Reati commessi all’estero

L’Ente che abbia la propria sede principale nel territorio dello Stato può essere chiamato a rispondere innanzi al giudice penale italiano anche per l’illecito amministrativo dipendente da reati commessi all’estero, nei casi e alle condizioni previsti dagli articoli da 7 a 10 c.p. e a condizione che nei suoi confronti non proceda lo Stato del luogo in cui è stato commesso il fatto.
Pertanto, l’ente è perseguibile quando:

  • in Italia ha la sede principale, cioè la sede effettiva ove si svolgono le attività amministrative e di direzione, eventualmente anche diversa da quella in cui si trova l’azienda o la sede legale (enti dotati di personalità giuridica), ovvero il luogo in cui viene svolta l’attività in modo continuativo (enti privi di personalità giuridica);
  • nei confronti dell’ente non sta procedendo lo Stato del luogo in cui è stato commesso il fatto;
  •  la richiesta del Ministro della Giustizia, cui sia eventualmente subordinata la punibilità, è riferita anche all’ente medesimo.

 

Tali regole riguardano i reati commessi interamente all’estero da soggetti apicali o sottoposti.

Per le condotte criminose che siano avvenute anche solo in parte in Italia, si applica il principio di territorialità ex art. 6 c.p., in forza del quale «il reato si considera commesso nel territorio dello Stato, quando l’azione o l’omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è ivi verificato l’evento che è la conseguenza dell’azione od omissione».

Infine, la Legge n. 146 del 2006, che ha ratificato la Convenzione e i Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall’Assemblea generale il 15 novembre 2000 ed il 31 maggio 2001, ha previsto all’art. 10 la responsabilità degli enti per alcuni reati aventi carattere transnazionale, quali ad esempio, l’associazione per delinquere anche di tipo mafioso.

 

6. Mappatura delle aree aziendali a rischio di commissione dei reati 231

Poiché il Modello deve essere predisposto tenendo conto delle caratteristiche proprie della società alla quale va applicato, qui di seguito si riassumono le principali connotazioni di DATAFLOW, rinviando alla «Parte speciale» e agli allegati per le indicazioni più dettagliate.

DATAFLOW nasce nel 2019, ha sede a Bassano del Grappa (VI) e svolge prevalentemente attività di analisi, progettazione e sviluppo di software e prodotti di elettronica, vendita di software nel campo della cybersecurity, consulenza aziendale nel settore delle tecnologie informatiche.

La Società è gestita da un Consiglio di Amministrazione composto da cinque membri, nominato ai sensi dell’art. 18 dello Statuto. Alla data dell’adozione del presente Modello il Consiglio di Amministrazione ha nominato un Amministratore Delegato, per le cui deleghe e attribuzioni si rinvia al verbale del 25 maggio 2022. La struttura organizzativa è piuttosto articolata e suddivisa per business line. L’attività svolta dall’azienda è concretizzata da un team interno (di dipendenti full time) e da professionisti esterni.

Il capitale sociale deliberato, ripartito tra i soci, risulta interamente versato.

Ai fini della predisposizione del Modello, è stata anzitutto eseguita una mappatura delle aree/attività a rischio, cioè potenzialmente soggette a rischio di commissione dei «reati 231».

A tale scopo,

  • sono state raccolte la documentazione e le informazioni che descrivono la struttura, l’articolazione organizzativa e l’operatività di DATAFLOW, il contesto operativo esterno, ossia il settore economico, e l’area geografica in cui opera la Società, ed il contesto operativo interno, ossia la struttura organizzativa, le dimensioni e l’articolazione territoriale della Società, che consta di una sede legale e di una sede operativa a Bassano del Grappa (VI);
  • sono stati eseguiti incontri con l’Amministratore Delegato, un referente per la funzione «Finance», l’«Office Manager» e con i «Legal» interni all’azienda; sono state analizzate le singole aree aziendali di DATAFLOW e valutate le modalità attraverso le quali potrebbero essere commessi i reati considerati dal D.Lgs. n. 231/2001, con particolare attenzione alle modalità con cui sono gestiti i flussi finanziari in entrata e in uscita;
  • sono state analizzate: la dimensione economica della Società (fatturato, immobilizzazioni, crediti verso clienti, capitale sociale, ecc.); la dimensione soggettiva della Società (numero di soci, numero di dipendenti e ricercatori, articolazione delle cariche sociali); la dimensione oggettiva della Società (numero di sedi, ….); l’attività della Società (servizi, dimensioni del mercato, tipologie di rapporti con la Pubblica Amministrazione, ecc.). Ed ancora: modalità dei pagamenti; forme di stipulazione dei contratti, ecc…
    Nello specifico,
  • sulla base della Organizational Chart, è stata effettuata la ricognizione degli ambiti istituzionali dove è maggiore la probabilità di commissione dei reati previsti dal Decreto;
  • è stata tracciata un’apposita «mappa» delle aree a potenziale «rischio 231» – contestualizzando le c.d. «attività sensibili» e le c.d. «attività strumentali»;
  • è stata valutata l’idoneità dei presidi organizzativi, procedurali e amministrativi (organizzazione interna, deleghe di responsabilità e poteri di spesa, protocolli e principi comportamentali) e, ove necessario, si è provveduto alla sua integrazione in modo da completare quei comportamenti cui DATAFLOW è già tenuta per legge, cioè quei comportamenti che la Società deve tenere se intende rispettare le norme vigenti in materia civilistica, fiscale, ecc… e quelli che DATAFLOW ha deciso di adottare nel rispetto della normativa vigente;
  • è stata raccolta la documentazione esistente utile ai fini della definizione del MOGC 231 (il Documento di Valutazione dei rischi ex D.Lgs. 81/2008).
    Nelle pagine che seguono, pertanto, vengono fissati i tratti essenziali di un sistema di controllo preventivo che prevede principi di comportamento, ruoli dei soggetti operanti nelle aree di rischio, protocolli per la programmazione della formazione e dell’attuazione delle decisioni, procedure di controllo (compresa la scelta di un apposito Organismo di Vigilanza, che deve vigilare sul funzionamento e sull’osservanza del Modello), formazione ed informazione del personale, progressivi aggiornamenti del Modello e sanzioni applicabili in caso di mancato rispetto delle misure previste dal Modello, al fine di assicurarne l’effettività.
 

7. Struttura generale dei protocolli

L’operatività di DATAFLOW, come meglio dettagliata nella «Parte speciale» del Modello, è ispirata ai seguenti principi:

  • principio di legalità. Il pieno rispetto della legge costituisce un vincolo intenso e stringente all’operato di DATAFLOW. Il principio di legalità sarà valorizzato conferendogli un significato forte (cioè non programmatico e di «principio») tratteggiando un quadro omnicomprensivo di doveri in capo a DATAFLOW;
  • chiara assunzione di responsabilità, secondo deleghe formalmente attribuite;
  • separazione di compiti e/o funzioni. L’autorizzazione ad effettuare una operazione deve essere disposta sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente o controlla l’operazione;
  • adeguata autorizzazione per tutte le operazioni, principio che può avere sia carattere generale (riferito ad un complesso omogeneo di attività aziendali), sia specifico (riferite a singole operazioni) e si traduce nella necessità che il soggetto responsabile di una operazione possieda adeguate capacità tecniche e preparazione professionale per svolgere la funzione;
  • adeguata e tempestiva documentazione e registrazione di operazioni, transazioni e azioni, così da effettuare controlli che attestino le caratteristiche dell’operazione, le motivazioni e individuino chi ha autorizzato, effettuato, registrato e verificato l’operazione stessa;
  • verifiche indipendenti sulle operazioni svolte, grazie alle quali le attività sono svolte anche da persone esterne all’organizzazione (l’Organismo di Vigilanza).
 

8. Organismo di vigilanza e obblighi informativi

8.1. Composizione e regole

Una funzione particolarmente importante viene assegnata all’Organismo di Vigilanza in quanto l’art. 6 del D.Lgs. n. 231 del 2001 prevede la non punibilità dell’ente nel caso in cui abbia affidato il compito di vigilare sul funzionamento e sull’osservanza del Modello ad un proprio Organismo dotato di autonomi poteri di iniziativa e di controllo.

Il compito di vigilare continuativamente sull’efficace funzionamento e sull’osservanza del Modello, nonché di proporre i necessari aggiornamenti, è dunque affidato ad un distinto Organismo di Vigilanza, dotato di requisiti soggettivi e oggettivi di seguito meglio descritti:

a. requisiti soggettivi. La concreta configurazione di tali requisiti verrà esemplificata nella successiva «Parte speciale»; qui è necessario fornire alcune definizioni generali: fra i requisiti soggettivi rientrano l’autonomia e l’indipendenza, la professionalità, l’onorabilità, la continuità d’azione e l’assenza di cause di incompatibilità.

    • autonomia ed indipendenza. Tale duplice requisito impone una posizione gerarchica dell’Organismo che sia la più elevata possibile; questa è la ragione che induce a legare l’Organismo di Vigilanza direttamente all’Organo deliberativo (Consiglio di Amministrazione), senza alcun passaggio gerarchico intermedio. Tuttavia, l’Organismo di Vigilanza dovrà essere indipendente dall’Organo deliberativo. Tale indipendenza può essere raggiunta sia grazie alla non investitura di compiti operativi, sia grazie all’attribuzione di un’autonomia finanziaria. La non investitura di compiti operativi impedisce che questo organismo sia parte di decisioni ed attività operative, in grado di comprometterne l’obiettività di giudizio. L’attribuzione di una limitata autonomia finanziaria consente, invece, che l’Organismo di Vigilanza possa finanziare la propria attività di verifica e di aggiornamento, senza condizionarla e limitarla alla decisione (o alla influenza) di terzi. Per le stesse ragioni, l’Organismo di Vigilanza sarà dotato di strumenti che utilizzerà in ottemperanza alla normativa sulla privacy;
    • professionalità. L’Organismo di Vigilanza deve possedere un bagaglio di esperienze e di tecniche che sia in grado di fargli esercitare correttamente l’attività ispettiva;
    • onorabilità. L’Organismo di Vigilanza deve possedere onore e dignità. Tale generica «buona reputazione» dell’Organismo si riferisce sia all’assenza di condanne penali o di procedimenti disciplinari a carico dei suoi componenti, sia alla lealtà, serietà e collaborazione che devono informare i rapporti con i dipendenti e gli eventuali collaboratori della società;
    • continuità di azione. L’attività di prevenzione e di controllo delle attività a rischio deve essere continua e costante. Per ottenere tale continuità, l’Organismo di Vigilanza è tenuto a predisporre un sistema di verifica che consenta la raccolta continua e sicura di informazioni e dati circa l’attività della società;
    • assenza di cause di incompatibilità. Tale requisito può essere inteso come assenza di tutte quelle circostanze che alterano l’imparzialità di giudizio e che possono rivelarsi dannose per la società. La causa di incompatibilità più evidente è rappresentata, in questo senso, dal conflitto d’interessi: situazioni di conflitto d’interessi, infatti, non solo rischiano di far perdere all’Organismo di Vigilanza la propria necessaria imparzialità, ma possono anche avvantaggiare quest’ultimo, grazie alla funzione svolta, danneggiando la società;

b. requisiti oggettivi. L’attività dell’Organismo di Vigilanza si esplica in una duplice direzione. Si prevedono, da un lato, autonomi poteri di iniziativa per la raccolta di informazioni e dati, e, dall’altro, un’autonoma e riservata organizzazione per la raccolta e la conservazione delle informazioni. Bisogna ricordare che gli altri organi della società sono tenuti, pur a tutela della propria riservatezza, ad informare l’Organismo di Vigilanza circa un’ampia categoria di notizie, che possono costituire fonte di rischio o di violazione del Modello e che verranno esemplificate nelle prossime pagine. La successiva attività di controllo e di verifica è, invece, lasciata alla discrezionalità e responsabilità dell’Organismo di Vigilanza, il quale non sarà, dunque, gravato da un obbligo di intervento per tutte le segnalazioni ricevute.

c. responsabilità. Anche l’Organismo di Vigilanza può essere sottoposto a misure sanzionatorie qualora non adempia con diligenza ai propri compiti istituzionali.
***

Nella ricerca di un equilibrio fra autonomia ed efficienza, si è cercato di privilegiare la funzionalità della Società, attraverso la scelta di uno strumento veloce e di facile utilizzo.
Le riflessioni formulate alla luce delle peculiarità organizzative di DATAFLOW portano ad individuare una composizione ottimale dell’Organismo di Vigilanza che valorizzi soprattutto i seguenti aspetti:

    • collegialità dell’Organismo di Vigilanza,
    • professionalità dei singoli componenti;
      conoscenza del settore aziendale e del sistema organizzativo della Società;
    • autonomia funzionale.


I componenti dell’Organismo di Vigilanza per poter essere scelti e mantenere la carica non devono essere stati condannati, anche con sentenza non ancora divenuta irrevocabile, per avere commesso uno dei reati di cui al D.Lgs. n. 231/01, ovvero ad una pena che comporti l’interdizione, anche temporanea, dai pubblici uffici o dagli uffici direttivi delle persone giuridiche.
Qualora un soggetto esterno venga nominato componente dell’Organismo di Vigilanza, invia al Consiglio di Amministrazione, all’atto dell’accettazione dell’incarico, una dichiarazione:

    • che attesti l’assenza, in capo a sé, di ragioni ostative ovvero d’inopportunità (conflitti di interesse, precedenti penali rilevanti o procedimenti in corso, ecc.) all’assunzione dell’incarico;
    • nella quale dichiari di essere stato adeguatamente informato sulle regole comportamentali ed etiche che la Società ha adottato, ivi comprese quelle contenute nel presente Modello e che egli farà proprie nello svolgimento dell’incarico.

 

Nel dettaglio:

    • DATAFLOW nomina un Organismo di Vigilanza, con provvedimento motivato, scelto esclusivamente sulla base dei requisiti di professionalità, onorabilità, competenza, indipendenza e autonomia funzionale, e tale da assicurare la continuità d’azione;
    • la delibera di nomina determina anche il compenso e la durata;
    • l’Organismo di Vigilanza può essere revocato per (i) il sopraggiungere di una causa di incompatibilità o ineleggibilità; (ii) inadempienza reiterata ai compiti previsti dal Modello; (iii) inattività ingiustificata che abbia comportato l’applicazione di sanzioni alla Società.
      Il membro revocato o che rinunci all’incarico viene tempestivamente sostituito e resta in carica fino alla scadenza dell’Organismo di Vigilanza in vigore al momento della sua nomina;
    • l’Organismo di Vigilanza riferisce direttamente all’Organo deliberativo;
    • l’Organismo di Vigilanza dispone di autonomi poteri di iniziativa e di controllo nell’ambito dell’ente, tali da consentire l’efficace esercizio delle funzioni previste dal Modello, nonché da successivi provvedimenti assunti in attuazione del medesimo;
    • al fine di svolgere, con obiettività e indipendenza, la propria funzione, l’Organismo di Vigilanza dispone di un autonomo potere di spesa, approvato dal Consiglio di Amministrazione, su proposta dell’Organismo stesso;
    • l’Organismo di Vigilanza può impegnare risorse che eccedono i propri poteri di spesa con l’obbligo di chiedere preventiva autorizzazione al Consiglio di Amministrazione;
    • l’Organismo di Vigilanza potrà eventualmente essere affiancato ed assistito da consulenti esterni, in grado di apportare precise competenze professionali che possano mancare all’Organismo stesso;
    • l’Organismo di Vigilanza è tenuto all’obbligo di riservatezza su tutte le informazioni delle quali è venuto a conoscenza, nell’esercizio delle sue funzioni o attività;
    • l’Organismo di Vigilanza svolge le sue funzioni curando e favorendo una razionale ed efficiente cooperazione con la struttura organizzativa esistente in DATAFLOW;
    • all’Organismo di Vigilanza non competono, né possono essere attribuiti, neppure in via sostitutiva, poteri di intervento gestionale, decisionale, organizzativo o disciplinare, relativi allo svolgimento delle attività di DATAFLOW.

 

Per garantire un efficace ed effettivo svolgimento delle proprie funzioni, l’Organismo di Vigilanza ha la facoltà di stabilire apposite regole operative e adottare un proprio Regolamento interno, anche al fine di garantire la propria massima autonomia organizzativa e d’azione. Il Regolamento costituisce un documento autonomo e proprio dell’Organismo di Vigilanza.

 
8.2. Funzioni dell’Organismo di Vigilanza: reporting nei confronti degli organi societari

Nei confronti del Consiglio di Amministrazione l’Organismo di Vigilanza ha la responsabilità di:

  • inviare il piano delle attività che intende svolgere per adempiere ai compiti assegnatigli;
  • comunicare immediatamente eventuali problematiche significative scaturite dalle attività svolte;
  • relazionare per iscritto in merito alle proprie attività e, in particolare, in merito all’attuazione del Modello da parte della Società, nonché in merito alla verifica sugli atti e sulle attività aziendali, secondo le modalità previste dal Modello medesimo;
  • comunicare per iscritto eventuali violazioni del Modello di cui sia stato informato o che abbia direttamente riscontrato e che non siano già a conoscenza del Consiglio di Amministrazione;
  • contribuire al processo di formazione e di informazione nei confronti del personale.

 

L’Organismo di Vigilanza redige ogni anno, entro la data di approvazione del bilancio, una relazione sull’attività compiuta e la presenta all’Organo deliberativo. L’Organismo di Vigilanza, ogni volta che ne ravvisi la necessità, può comunque effettuare segnalazioni all’Organo deliberativo e proporre modifiche e/o integrazioni al Modello Organizzativo.

 
8.3. Informativa all’Organismo di Vigilanza
8.3.1. Obblighi di informazione

L’Organismo di Vigilanza, nei limiti della normativa vigente, ha libero accesso a tutta la documentazione aziendale rilevante, nonché ha la possibilità di acquisire direttamente dati ed informazioni dai soggetti responsabili. Tenuto conto del parere espresso dall’Autorità Garante per la Protezione dei Dati Personali in data 12 maggio 2020 in riferimento al trattamento dei dati personali dell’Organismo di Vigilanza nell’esercizio dei propri compiti e funzioni, DATAFLOW designa i singoli componenti dell’Organismo di Vigilanza quali soggetti autorizzati al trattamento dei dati personali ex art. 29 del Regolamento UE 679/2016 (GDPR) e art. 2 – quaterdecies del Testo Unico in materia di protezione dei dati personali.

***
I Destinatari del Modello sono tenuti a fornire le informazioni richieste dall’Organismo di Vigilanza secondo i contenuti, le modalità e la periodicità di volta in volta definiti dallo stesso. Gli obblighi informativi verso l’Organismo di Vigilanza rappresentano un utile strumento a favore di quest’ultimo per svolgere le attività di vigilanza sull’efficacia del Modello e di accertamento ex post delle cause che possono aver consentito il verificarsi di un illecito.

Oltre alle notizie previste nell’ambito delle procedure operative e dei protocolli del Modello («Parte Speciale»), sono oggetto di comunicazione all’Organismo di Vigilanza da parte dell’Amministratore Delegato le seguenti informazioni / documenti specifici:

  • le notizie relative ad infortuni sul lavoro o incidenti, o relative a richieste di riconoscimento di malattie professionali;
  • i provvedimenti e/o le notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati di cui al D.Lgs. n. 231/2001;
  • le notizie relative a procedure di concessione o autorizzazione o comunque collegate all’esercizio delle attività aziendali;
  • eventuali decisioni relative alla richiesta, erogazione ed utilizzo di finanziamenti o contributi pubblici, nonché crediti di imposta;
  • le richieste di assistenza legale inoltrate dagli apicali e/o dai dipendenti e collaboratori nei confronti dei quali la magistratura dovesse procedere per i reati previsti dalla richiamata normativa;
  • le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al D.Lgs. n. 231/2001;
  • le notizie relative alla effettiva attuazione, a tutti i livelli aziendali, del Modello organizzativo.

 

L’Amministratore Delegato, inoltre,

  • terrà a disposizione dell’Organismo di Vigilanza l’evidenza della applicazione dei protocolli aziendali individuati e la sottostante documentazione di supporto;
  • segnalerà all’Organo di Vigilanza ogni situazione che ritenga non conforme alle regole aziendali in materia, o laddove ravvisi una situazione di anomalia in relazione al rischio di commissione di uno dei reati di cui alla «Parte Speciale» del Modello.

 

Le notizie e le informazioni raccolte sono conservate in apposito registro, a cura dell’Organismo di Vigilanza secondo regole, criteri e condizioni di accesso ai dati idonee a garantirne l’integrità e la riservatezza, e non possono essere divulgate a soggetti diversi dall’Autorità Giudiziaria e dall’Organo deliberativo.
È espressamente vietato, in ogni caso, distruggere, alterare o modificare in tutto o in parte le comunicazioni rivolte all’Organismo di Vigilanza.

 
8.3.2. Segnalazioni di illeciti o di violazioni del Modello – c.d. Whistleblowing

Nell’ambito del «Sistema 231», a tutela dell’integrità aziendale, DATAFLOW adotta la procedura Whistleblowing (di seguito anche «Procedura WB») ai sensi del D.Lgs. 10 marzo 2023 n. 24.

Destinatari della Procedura sono:

  • i vertici aziendali, i componenti degli organi sociali e dell’Organismo di Vigilanza;
  • i dipendenti, gli ex dipendenti e i candidati a posizioni lavorative;
  • i volontari e tirocinanti, retribuiti e non retribuiti;
  • i soci, i clienti, nonché – a titolo non esaustivo – i partner, i fornitori, i consulenti, i collaboratori nello svolgimento della propria attività lavorativa presso DATAFLOW;
  • i lavoratori autonomi e i liberi professionisti, che sono in possesso di informazioni su violazioni, come definite nella relativa Procedura.

 

Rientrano, altresì, tra i Destinatari, i soggetti fisici e giuridici, non ricompresi nelle precedenti categorie, ma ai quali si applicano le misure di protezione previste dalla Procedura.
La Procedura consente di segnalare tempestivamente:

  • qualsiasi condotta illecita rilevante ai sensi del D.Lgs. n. 231/2001;
  • qualsiasi violazione del Modello di Organizzazione, Gestione e Controllo adottato dalla Società e del Codice Etico,
    delle quali si venga a conoscenza in ragione delle funzioni svolte.

Attraverso la «Procedura WB», DATAFLOW consente altresì di segnalare:

  • illeciti amministrativi, contabili, civili o penali;
  • qualsiasi azione suscettibile di arrecare un pregiudizio patrimoniale o di immagine alla Società;
  • qualsiasi azione suscettibile di arrecare un danno alla salute o sicurezza dei dipendenti, utenti o cittadini;
  • qualsiasi violazione posta in essere con l’inosservanza dei codici di comportamento o di altre disposizioni o procedure interne all’organizzazione, sanzionabili in via disciplinare.

I canali di comunicazione interni (piattaforma IT e segnalazione verbale) integrano quanto richiesto dall’art. 6 del D.Lgs. n. 231/2001 in materia di segnalazioni circostanziate di condotte illecite o di violazioni del Modello (c.d. Whistleblowing).

DATAFLOW assicura che i segnalanti e i soggetti per i quali il D.Lgs. n. 24/2023 ha esteso la tutela (si rinvia alla «Procedura Whistleblowing») non siano soggetti a forme di ritorsione, discriminazione o penalizzazione e fa in modo che sia tutelata la riservatezza della loro identità, fatti salvi gli obblighi di legge e la tutela dei diritti della Società o delle persone accusate erroneamente e/o in mala fede.

La violazione di tale divieto costituisce illecito disciplinare ed è sanzionato secondo quanto previsto dal sistema disciplinare di questo Modello; egualmente, costituiscono illecito disciplinare, con l’applicazione delle sanzioni previste dal Modello, l’effettuazione con dolo o colpa grave di segnalazioni che si rivelino infondate, la violazione degli obblighi di riservatezza e la mancata comunicazione delle Segnalazioni al Destinatario delle Segnalazioni nei termini previsti dalla Procedura.

DATAFLOW adotta e diffonde apposita «Procedura Whistleblowing» (Protocollo operativo P_01).

 

9. Sistema disciplinare

Un aspetto essenziale per l’effettività del Modello è rappresentato dalla costruzione di un adeguato sistema sanzionatorio, atto a riscontrare la violazione delle regole di condotta e, in generale, dei protocolli e delle procedure interni.

Infatti, l’art. 6, co. 2, lett. e) e l’art. 7, co. 4, lett. b) del D.Lgs. n. 231/2001 indicano, quale condizione per un’efficace attuazione del Modello di organizzazione, gestione e controllo, l’introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nello stesso.

Un adeguato sistema disciplinare costituisce dunque un presupposto essenziale della valenza esimente del Modello 231 rispetto alla responsabilità amministrativa degli enti.

L’applicazione di sanzioni disciplinari per violazioni delle regole di condotta aziendali prescinde dall’esito del giudizio penale, in quanto tali regole sono assunte da DATAFLOW in piena autonomia e a prescindere dall’illecito che eventuali condotte possono determinare.

Costituiscono, in particolare, illecito disciplinare, con gli effetti previsti dalla legge e dalla contrattazione collettiva applicabile:

  • la mancata applicazione o la fraudolenta elusione delle regole comportamentali previste dalle procedure operative richiamate nel Modello;
  • la mancata, incompleta e non veritiera documentazione dell’attività svolta prescritta per i processi sensibili;
  • l’ostacolo ai controlli, l’impedimento ingiustificato all’accesso alle informazioni e alla documentazione opposto ai soggetti preposti al controllo delle procedure e delle decisioni, incluso l’Organismo di Vigilanza, o altre condotte idonee alla violazione o elusione del sistema di controllo;
  • le violazioni ingiustificate e reiterate delle altre prescrizioni del Modello, tra cui l’omessa informativa all’Organismo di Vigilanza;
  • il mancato rispetto delle misure di tutela di colui che segnala condotte illecite o violazioni del Modello e/o l’adozione di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante e dei soggetti collegati, per motivi connessi, direttamente o indirettamente, alla segnalazione;
  • l’effettuazione con dolo o colpa grave di segnalazioni che si rivelano infondate;
  • il mancato rispetto dei termini di comunicazione di una Segnalazione ricevuta, secondo quanto indicato nella procedura Whistleblowing.

 

Il sistema disciplinare introduce, coerentemente con le tutele assegnate ai lavoratori dal c.d. Statuto dei lavoratori (L. n. 300/1970), uno specifico sistema sanzionatorio, finalizzato a conferire efficacia precettiva alle disposizioni del presente Modello e modulabile in base alla gravità della violazione ed alla sua volontarietà da parte del trasgressore. Nello specifico, le sanzioni saranno applicate sulla base dei seguenti criteri:

  • il grado di intenzionalità delle violazioni commesse;
  • il livello di negligenza, imprudenza o imperizia relativo alle violazioni commesse;
  • gli eventuali casi di recidiva o di commissione di una pluralità di illeciti;
  • l’entità e la gravità delle conseguenze prodotte;
  • il comportamento complessivo del soggetto che ha commesso la violazione;
  • la tipologia di compiti e mansioni a lui affidati;
  • la posizione funzionale occupata e/o le responsabilità affidate.

 

È affidato all’Organismo di Vigilanza il compito di informare il Consiglio di Amministrazione affinché curi l’aggiornamento, la modifica e/o l’integrazione del Sistema Disciplinare stesso, qualora lo ritenesse necessario ai fini della migliore efficacia del Modello.

 
9.1. Sanzioni per i lavoratori dipendenti

L’osservanza delle norme del Modello da parte dei lavoratori subordinati integra ed esplicita gli obblighi di fedeltà, lealtà e correttezza nell’esecuzione del contratto di lavoro secondo buona fede, ed è pretesa da DATAFLOW anche ai sensi e per gli effetti di cui all’articolo 2104 del Codice Civile .

Pertanto, in relazione all’entità delle mancanze e alle circostanze che le accompagnano, le condotte tenute dai lavoratori subordinati, e poste in violazione delle singole regole del presente Modello, possono essere sanzionate con i seguenti provvedimenti:

  • biasimo verbale;
  • rimprovero scritto;
  • sanzione pecuniaria non eccedente l’importo di tre ore della normale retribuzione oraria calcolata sul minimo tabellare;
  • sospensione dal lavoro e dalla retribuzione per un periodo non superiore a giorni tre;
  • licenziamento per giusta causa.

 

Non sarà adottato alcun provvedimento disciplinare nei confronti del lavoratore senza avergli preventivamente contestato l’addebito e senza averlo sentito a sua difesa. La comminazione del provvedimento deve essere motivata e comunicata per iscritto.

Qualora con un solo atto siano commesse più infrazioni, punite con sanzioni diverse, si applica la sanzione più grave. La recidiva nel corso di tre anni comporta automaticamente l’applicazione della sanzione immediatamente più grave.

Il responsabile della concreta applicazione delle misure disciplinari sopra descritte per i dipendenti è l’Amministratore Delegato – anche datore di lavoro – secondo le attribuzioni di cui al verbale del 25 maggio 2022.

In ogni caso, l’Organismo di Vigilanza riceve tempestiva informazione di ogni atto riguardante il procedimento disciplinare a carico di un lavoratore per violazione del presente Modello, fin dal momento della contestazione disciplinare.

È comunque attribuito all’Organismo di Vigilanza, il compito di verificare e valutare l’idoneità del Sistema Disciplinare ai sensi e per gli effetti del Decreto. Viene previsto il necessario coinvolgimento dell’Organismo di Vigilanza nella procedura di irrogazione delle sanzioni per violazione del Modello, mediante adeguata informativa in merito al contenuto dell’addebito e alla tipologia di sanzione che si intende irrogare.

All’Organismo di Vigilanza viene data parimenti comunicazione di ogni provvedimento di archiviazione inerente ai procedimenti disciplinari di cui al presente capitolo.

 
9.2. Misure nei confronti di Amministratori e Organo di controllo

La Società valuta con estremo rigore le infrazioni al presente Modello poste in essere da coloro che rappresentano il vertice della Società e ne manifestano dunque l’immagine verso le Istituzioni, i dipendenti e collaboratori, i soci ed il pubblico.
In caso di violazione delle indicazioni del presente Modello da parte dei singoli Consiglieri di Amministrazione, l’Organismo di Vigilanza informa tempestivamente e formalmente l’intero Consiglio di Amministrazione, il quale assume tutte le opportune iniziative previste dalla vigente normativa.

Costituiscono altresì illecito disciplinare rilevante dell’Organo deliberativo: (i) la mancata diffusione ai Destinatari del Modello e del Codice etico; (ii) l’omessa vigilanza dei delegati in materia di adozione, rispetto e gestione del Modello e del Codice etico; (iii) l’omessa segnalazione o tolleranza di violazioni commesse da parte di altri Amministratori, con riferimento ai protocolli e procedure del Modello; (iv) inosservanza delle disposizioni relative ai poteri di firma, e al sistema delle deleghe/procure attribuite; (v) per negligenza o imperizia, il mancato impedimento o la non agevolazione della scoperta di violazioni del Modello fino ai casi più gravi di commissione di reati rilevanti ai fini del Decreto; (vi) l’omessa vigilanza sul rispetto, da parte del personale, delle norme di legge, del Modello e del Codice etico.
A carico dell’Organo di controllo sono previste, a seconda della gravità del fatto commesso, la sanzione pecuniaria da un minimo di euro 500,00 ad un massimo di due volte il compenso e la revoca dell’incarico.

 
9.3. Misure nei confronti dei fornitori, clienti, partner commerciali, collaboratori, consulenti

La violazione delle norme del Modello, richiamate dal contratto può costituire, a seconda della gravità, giusta causa di interruzione del rapporto contrattuale con ogni conseguenza di legge (anche l’applicazione di eventuali penali conseguenti a tale sospensione), incluso il risarcimento del danno (7) .

Tali infrazioni, seppure lievi, sono comunque valutate negativamente ai fini del rinnovo del contratto e/o dell’incarico al trasgressore.

Ogni violazione messa in atto dai soggetti in epigrafe è comunicata dall’Organismo di Vigilanza mediante relazione scritta al Consiglio di Amministrazione.

La funzione «Legal», incaricata della redazione dei contratti, cura l’elaborazione, l’inserimento e l’aggiornamento nei contratti delle clausole negoziali idonee all’osservanza di quanto sopra specificato. L’Amministratore Delegato verifica l’inserimento di dette clausole.

Per quanto riguarda la procedura di accertamento di simili infrazioni e del successivo richiamo scritto oppure dell’attivazione delle citate clausole, l’Organismo di Vigilanza verifica che l’Amministratore Delegato abbia formalmente contestato il fatto all’autore dell’infrazione con l’indicazione specifica dei fatti addebitati, emanando contestuale richiamo scritto alla stretta osservanza delle regole di condotta infrante con formale atto di messa in mora e con invito a porre rimedio all’accertata infrazione, ovvero risolvendo il rapporto contrattuale.

L’Organismo di Vigilanza verifica altresì che nella modulistica contrattuale predisposta da DATAFLOW siano inserite tali clausole.

(7) Si prevede in tal senso l’inserimento di clausole risolutive espresse nei contratti che fanno esplicito riferimento al rispetto delle disposizioni del Modello.

 
9.4. Misure nei confronti dell’Organismo di Vigilanza

L’osservanza del Modello da parte dei componenti dell’Organismo di Vigilanza integra ed esplicita gli obblighi di diligenza nell’esecuzione dell’incarico assunto.

Qualora la violazione delle indicazioni del presente Modello organizzativo si ascrivibile a un membro dell’organo suddetto, gli altri membri informano senza indugio il Consiglio di Amministrazione. Il Consiglio di Amministrazione promuove l’istruttoria del caso e le ulteriori indagini, adottando, una volta contestata la violazione, gli opportuni provvedimenti.

 

10. Pubblicità, diffusione e aggiornamento del MOGC

Il Modello deve ricevere massima diffusione ed essere messo a disposizione di amministratori, soci, legale rappresentante, dipendenti, collaboratori, clienti, fornitori, business partner, consulenti e Organo di controllo.

Il Modello viene reso disponibile in formato cartaceo e/o elettronico su piattaforma online, in modo tale da consentire ai dipendenti e all’Organismo di Vigilanza di prenderne visione e secondo modalità che consentano di confermarne la ricevuta e la presa d’atto delle indicazioni.

DATAFLOW porta il Modello a conoscenza di clienti, fornitori, business partner, consulenti e organo di controllo con i mezzi ritenuti di volta in volta più idonei, anche attraverso le modalità di cui al punto precedente.

Per l’efficace attuazione del Modello sono previste periodiche sessioni interne di formazione, al fine di rendere consapevoli i soggetti apicali, i dipendenti e i collaboratori circa i contenuti del Modello stesso.

L’Organismo di Vigilanza verifica l’effettiva diffusione del Modello e l’attività di formazione.

 
10.1. La comunicazione ai dipendenti

L’adozione del presente Modello Organizzativo è comunicata a tutte le risorse presenti in azienda al momento della sua delibera di approvazione, attraverso le modalità di cui in premessa.

Nel caso di nuove assunzioni, già al momento dell’accordo verbale sull’inizio del rapporto di lavoro viene resa disponibile una copia informativa della Parte Generale del Modello, del Codice etico e del D.Lgs. 231/2001. Una volta perfezionata l’assunzione, la documentazione completa è messa a disposizione del dipendente secondo le modalità di cui in premessa.

DATAFLOW consegna a tutti i dipendenti, già in organico e neoassunti, un modulo di integrazione contrattuale di dichiarazione di adesione ai contenuti del Modello, da sottoscrivere e restituire personalmente al datore di lavoro.

Analoghe indicazioni sono previste anche per i rapporti con i collaboratori.

 
10.2. La comunicazione ai clienti, fornitori, business partner, consulenti e Organo di controllo

Per i contratti/incarichi in corso alla data di approvazione del presente documento, è trasmessa autonoma comunicazione (lettera informativa standard riguardante il sistema di responsabilità ex D.Lgs. 231/2001) con la quale DATAFLOW informa dell’adozione del MOGC (di cui il Codice etico costituisce parte integrante) rinviandoli, ad esempio, alla lettura dei documenti pubblicati sul proprio sito web.

Per i nuovi contratti/incarichi, DATAFLOW fornisce apposita informativa circa l’adozione e l’attuazione del MOGC e del Codice etico, inserendo altresì nei contratti clausole risolutive espresse/previsioni di revoca dell’incarico che fanno esplicito riferimento al rispetto delle disposizioni del Modello e del Codice etico, fatta salva ogni altra conseguenza di legge.

 
10.3. La formazione

L’attività di formazione finalizzata a diffondere la conoscenza del Decreto, del Modello e delle regole di condotta è differenziata, nei contenuti e nelle modalità di erogazione, in funzione della qualifica dei Destinatari, del livello di rischio dell’area in cui operano, dell’avere o meno funzioni di rappresentanza di DATAFLOW.

La formazione dei componenti degli organi sociali e dei soggetti muniti di poteri di rappresentanza avviene attraverso incontri ripetuti almeno triennalmente. L’attività di formazione periodica viene svolta avendo cura di rispettare i seguenti contenuti minimi:

  • esplicazione delle prescrizioni del Decreto, in particolare, i reati previsti e considerati di particolare rilievo rispetto alle attività svolte dalla Società; i Destinatari, le condizioni normative al verificarsi delle quali la Società può essere considerata responsabile, nonché le possibili esimenti da responsabilità;
  • esame delle caratteristiche e delle finalità del Modello e, in particolare, dei criteri di comportamento da seguire nello svolgimento delle attività sensibili al fine di evitare la commissione dei reati ivi previsti;
  • indicazione dei Destinatari, delle modalità di diffusione e dei principi contenuti nel Modello e nel Codice etico;
  • descrizione dei requisiti, della composizione e delle responsabilità dell’Organismo di Vigilanza;
  • indicazione dei Destinatari del sistema sanzionatorio e delle modalità con le quali è stabilita l’entità della sanzione da comminare in caso di violazione, infrazione, imperfetta o parziale applicazione del Modello.

 

Quanto sopra costituisce una formazione di base cui potranno essere aggiunti contenuti specifici, definiti caso per caso secondo la necessità, anche con riferimento a categorie mirate di Destinatari o temi specifici di particolare rilievo.

La formazione di base della restante tipologia di personale può avvenire in aula o in modalità e-learning, sentito l’Organismo di Vigilanza e rispettando i contenuti minimi della formazione di base di cui sopra.

La formazione del personale neoassunto avviene secondo i criteri previsti nel presente capitolo.

La partecipazione all’attività formativa secondo le modalità e tempistiche definite dalla Società è obbligatoria: l’inosservanza dell’obbligo è suscettibile di valutazione disciplinare.

 
10.4. Aggiornamento del Modello

Modifiche e integrazioni al presente Modello sono adottate direttamente da DATAFLOW, o su proposta dell’Organismo di Vigilanza. Le modifiche sono deliberate dal Consiglio di Amministrazione di DATAFLOW.

Il Modello è tempestivamente modificato quando intervengono mutamenti nel sistema normativo e nell’assetto aziendale, tali da comportare la necessità di variare le previsioni del Modello stesso, allo scopo di mantenerne l’efficienza.

Il presente Modello deve essere modificato anche quando siano individuate significative violazioni o elusioni delle prescrizioni, che mettano in evidenza l’inadeguatezza del Modello adottato a garantire l’efficace prevenzione dei rischi.

Il Modello è riesaminato periodicamente dall’Organismo di Vigilanza, al fine di verificarne l’effettività, l’adeguatezza, il mantenimento nel tempo dei requisiti di efficacia e di funzionalità.

L’Amministratore Delegato, con il supporto delle funzioni competenti, è tenuto a verificare costantemente l’efficacia e l’effettività delle procedure e dei protocolli finalizzati ad impedire la commissione di reati.

La «Parte Speciale» del MOGC, in particolare, è oggetto di continua manutenzione a cura della funzione aziendale competente.

Registered office:

Via Vittorelli, 3

Bassano del Grappa, 36061, Italy

 

VAT number: 04232280240

REA number: VI-389384

 

Privacy Policy: EN, IT

Compliance: EN, IT

Contact

Business enquires:

[email protected]

Found a vuln? 

[email protected]

Dataflow Security

About
Inventory
Services
Careers
Blog
Events

Dataflow Group

Dataflow Security
Dataflow Forensics

© 2025 Dataflow Security S.r.l, All Rights Reserved

© 2025 DFSEC. All rights reserved.