MODELLO DI ORGANIZZAZIONE E GESTIONE

Transcript

1 MODELLO DI ORGANIZZAZIONE E GESTIONE Sistema di Gestione per la prevenzione dei reati ex Decreto Legislativo 08 Giugno 2001, n 231 MODELLO Versione: 12 Data Ultima revisione: Agosto 2014 Data di emissione: 2007 Data di scadenza: Pagine complessive: 53 Area tematica NORME LEGALI Argomento: RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI (D.LGS. N 231/2001) Redazione a cura di: DIREZIONE HR AND ORGANIZATION Verifiche a cura di: RESPONSABILE LEGAL i-faber S.p.A. Via Livio Cambi, Milano Tel Fax Sede Legale: Via Livio Cambi, Milano Capitale Sociale: euro ,00 i.v. REA di Milano n R.I. C.F. e P.IVA n Società soggetta all attività di direzione e coordinamento di UniCredit S.p.A.

2 Approvazione: RESPONSABILE DIREZIONE HR AND ORGANIZATION AMMINISTRATORE DELEGATO PRESIDENTE DEL CONSIGLIO DI AMMINISTRAZIONE 2 di 53

3 Storia delle modifiche VERSIONE DESCRIZIONE MODIFICA 1 Prima emissione 2 Adeguamento alla nuova struttura ed alla responsabilità introdotta per i reati di: market abuse reati transnazionali 3 Adeguamento alla responsabilità introdotta per i reati di: riciclaggio omicidio colposo e lesioni colpose gravi o gravissime in violazione delle norme a tutela della salute e sicurezza sul luogo di lavoro 4 Adeguamento alla responsabilità introdotta per i reati di: inserimento del modello aziendale in materia di salute e sicurezza 5 Adeguamento alla nuova struttura e alla introdotta responsabilità per: i reati di falso e contraffazione i delitti contro l'industria e il commercio i delitti in materia di diritto d autore i reato di cui all art. 377 bis C.P. i delitti di criminalità organizzata Introduzione dell elenco dei reati per i quali è prevista responsabilità amministrativa dell ente 6 Adeguamento alla nuova struttura 7 Adeguamento alla responsabilità introdotta per: i reati ambientali i reati in materia di immigrazione Inserimento organigramma di i-faber 8 Adeguamento alla nuova struttura 3 di 53

4 VERSIONE DESCRIZIONE MODIFICA 9 Adeguamento alla nuova struttura Adeguamento alla responsabilità introdotta per: il reato di induzione indebita a dare o promettere utilità il reato di corruzione tra privati Esclusione della procedura Aggregazione clienti privati a seguito dell aggiornamento del risk assessment 10 Inserimento cenni Legge 06 novembre 2012, n 190, dai Decreti Legislativi di attuazione n 33 e n 39 del 2013, oltre che dal D.P.R. n. 62 del 2013, dal D.P.C.M. 18 aprile 2013 e dal Piano Nazionale Anticorruzione Aggiornamento organigramma 11 Paragrafo 19.1: possibilità di nominare un Presidente dell Organismo di Vigilanza e Controllo che non sia Consigliere di Amministrazione identificazione dei requisiti minimi caratterizzanti il Presidente dell Organismo di Vigilanza e Controllo quando non sia prescelto tra i Consiglieri di Amministrazione 12 Adeguamento alla responsabilità introdotta per il reato di adescamento di minorenni. Aggiornamento dell elenco dei reati per i quali il Decreto risulta applicabile (par. 1.1). Migliore rappresentazione del contesto e della composizione del Modello di Organizzazione e Gestione di i-faber (par. 3.3). 4 di 53

5 Indice 1. Il Decreto Legislativo n 231, del 08 giugno Contenuti principali L applicabilità della responsabilità amministrativa e i soggetti interessati Il modello di organizzazione e gestione e relative attività connesse Termini e definizioni Il modello gestionale di i-faber La società ed i servizi offerti I principi regolatori del modello Composizione del modello Costruzione del modello L esposizione al rischio di illecito: premessa metodologica I risultati dell analisi di rischio: i reati contro la Pubblica Amministrazione (artt. 24 e 25) La definizione di Pubblica Amministrazione L esposizione al rischio Misure per la prevenzione I reati informatici (art. 24 bis) L esposizione a rischio Misure per la prevenzione 23 5 di 53

6 7. I delitti di criminalità organizzata (art. 24 ter) Generalità L esposizione a rischio Misure per la prevenzione I risultati dell analisi di rischio: i reati di falsità in monete, in carte di pubblico credito e in valori di bollo, i delitti con finalità di terrorismo o di eversione dell ordine democratico, i delitti contro la personalità individuale e i reati transnazionali (artt. 25 bis, 25 quater e 25 quinquies) L esposizione a rischio Misure per la prevenzione I reati in materia di falso e contraffazione (art. 25 bis): la Proprietà Industriale L esposizione a rischio Misure per la prevenzione I delitti contro l industria e il commercio (art. 25 bis.1) L esposizione a rischio Misure per la prevenzione I risultati dell analisi di rischio: i reati societari (art. 25 ter) L esposizione a rischio Misure per la prevenzione 33 6 di 53

7 12. I risultati dell analisi di rischio: i reati di abuso del mercato (art. 25 sexies) L esposizione a rischio Misure per la prevenzione I reati in materia di sicurezza sul lavoro (art. 25 septies) L esposizione a rischio Misure per la prevenzione I reati in materia di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (art. 25 octies) L esposizione a rischio Misure per la prevenzione I reati in materia di diritto d autore (art. 25 novies) L esposizione a rischio Misure per la prevenzione I reati contro l Autorità Giudiziaria: riferimento all art. 377 bis C.P. (art. 25 decies) Generalità L esposizione a rischio Misure per la prevenzione I reati Ambientali (art. 25 undecies) 43 7 di 53

8 17.1. Generalità L esposizione a rischio Misure per la prevenzione I reati in materia di immigrazione (art. 25 duodecies) Generalità L esposizione a rischio Misure per la prevenzione L Organismo di Vigilanza e Controllo Generalità Autorità e responsabilità Flusso di informazioni verso l OVC Segnalazione Attivazione dell OVC Altre informazioni Reporting e gestione dei documenti Sistema sanzionatorio Sanzioni applicabili agli Impiegati ed ai Quadri Sanzioni applicabili ai Dirigenti Disciplina applicabile nei rapporti con collaboratori esterni e partner Informazione e formazione del personale Diffusione del modello Formazione del personale 53 8 di 53

9 1. Il Decreto Legislativo n 231, del 08 giugno Contenuti principali Con il Decreto Legislativo n 231, del 08 giugno 2001, è stata introdotta nell ordinamento giuridico italiano la «responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica» a seguito della commissione di illecito. I reati per i quali il Decreto risulta applicabile sono: art. 24: «indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello stato o di un ente pubblico», che correla la responsabilità amministrativa dell ente alla commissione di reati quali l indebita percezione di erogazioni a danno dello Stato (o di altro ente pubblico, o delle Comunità europee), la truffa (a danno dello Stato o di un altro ente pubblico), la frode informatica (se commessa in danno dello Stato o di altro ente pubblico) art. 24 bis: «delitti informatici e trattamento illecito di dati», che correla la responsabilità amministrativa dell ente alla commissione di reati quali il reato di accesso abusivo a un sistema informatico o telematico, il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, il reato di diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, il reato di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, il reato di falsificazioni informatiche ed il reato di danneggiamento di informazioni, dati e programmi informatici, ancorché, utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità art. 24 ter: «delitti di criminalità organizzata», che correla la responsabilità amministrativa dell ente alla commissione dei seguenti reati: l associazione per delinquere; le associazione di tipo mafioso anche straniere; lo scambio elettorale politico mafioso; il sequestro di persona a scopo di estorsione; l associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope; i delitti di illegale fabbricazione/introduzione nello Stato/messa in vendita/cessione/detenzione e porto di armi da guerra e di esplosivi; i delitti per i quali ci si avvale delle condizioni previste dall articolo 416-bis c.p. ovvero, i delitti commessi al fine di agevolare l attività delle associazioni di tipo mafioso art. 25: «concussione, induzione indebita a dare o promettere utilità e corruzione», che correla la responsabilità amministrativa dell ente alla commissione di reati quali la concussione, la corruzione per l esercizio della funzione o per un atto contrario ai doveri d ufficio art. 25 bis: «falsità in monete, in carte di pubblico credito, in valori in bollo e in strumenti o segni di riconoscimento», che correla la responsabilità amministrativa dell ente alla commissione di reati in materia di falso in genere e di contraffazione di segni distintivi art. 25 bis.1: «delitti contro l industria e il commercio», che correla la responsabilità amministrativa dell ente alla commissione di reati commessi nell ambito della concorrenza tra imprese e della regolamentazione del commercio art. 25 ter: «reati societari», che correlano la responsabilità amministrativa dell ente alla commissione di illeciti quali le false comunicazioni sociali, la falsità delle relazioni o nelle comunicazioni delle società di revisione, la corruzione tra privati e l aggiotaggio art. 25 quater: «delitti con finalità di terrorismo o di eversione dell ordine democratico», che correlano la responsabilità amministrativa dell ente alla commissione dei delitti aventi finalità di terrorismo o di eversione dell ordine democratico previsti sia nel codice penale che nelle leggi speciali art. 25 quinquies: «delitti contro la personalità individuale», che correlano la responsabilità amministrativa dell ente alla commissione di illeciti quali la detenzione di materiale pornografico 9 di 53

10 (prodotto mediante lo sfruttamento sessuale di minori), l adescamento di minorenni e le iniziative turistiche volte allo sfruttamento della prostituzione minorile art. 25 sexies: «reati di abuso del mercato», che correlano la responsabilità amministrativa dell ente alla commissione degli illeciti di abuso di informazioni privilegiate e manipolazione del mercato «reati transnazionali»: introdotti con la L. n 146, del 16 marzo 2006, correlano la responsabilità amministrativa dell ente a reati quali l associazione per delinquere, l associazione per delinquere di stampo mafioso, l induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all autorità giudiziaria, l associazione per delinquere finalizzata al contrabbando di lavorati esteri, al traffico illecito di sostanze psicotrope o stupefacenti e favoreggiamento delle immigrazioni clandestine, perpetrati a livello internazionale con l implicazione di un gruppo criminale organizzato art. 25 septies: «omicidio colposo e lesioni colpose gravi e gravissime commesse in violazione della normativa antinfortunistica e sulla tutela dell'igiene e della salute sul lavoro», che configura la responsabilità amministrativa dell ente, in relazione alla commissione dei suelencati delitti colposi nell interesse o a vantaggio, non necessariamente di contenuto economico, dello stesso art. 25 octies: «ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita», che correla la responsabilità amministrativa dell ente ad operazioni di trasferimento, occultamento o utilizzo di beni di provenienza illecita, così come al tentativo, associazione o istigazione a compiere tali atti art. 25 novies: «delitti in materia di violazione del diritto d autore», che correla la responsabilità amministrativa dell ente a condotte che violino le disposizioni di cui alla L. n 633 del 22 aprile1941 (L.D.A.), in particolare in materia di software, di abusiva duplicazione riproduzione - trasmissione o diffusione in pubblico di opere dell ingegno, nonché di distribuzione dei c.d. decoder art. 25 decies: «induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria», reato commesso nei confronti dell Autorità Giudiziaria, introdotto dall art. 4 della L. n 116 del 03 agosto 2009, con la medesima numerazione dei reati in materia di violazione del diritto d autore, rinumerato quale art. 25 decies, dall art. 2 del D. Lgs. n. 121/2011 art. 25 undecies: «reati ambientali» introdotti con il D. Lgs. n 121 del 07 luglio 2011, che correla la responsabilità amministrativa dell ente a condotte costituenti reato (delitti e contravvenzioni) ai sensi del Codice Penale (art. 727 bis e 733 bis), del Codice dell Ambiente (D. Lgs. n 152/2006), della Legge n 150/1992 in materia di commercio internazionale di specie animali e vegetali in via di estinzione e della Legge n 549/1993 recante disposizioni a tutela dell ozono stratosferico e dell ambiente art. 25 duodecies: «impiego di cittadini di paesi terzi il cui soggiorno è irregolare» introdotti con il D. Lgs n 109 del 16 luglio 2012, che correla la responsabilità amministrativa dell ente a condotte costituenti reato ai sensi della nuova disposizione normativa di cui all art. 22 c. XII bis di cui al D.Lgs n 286/1998 inerente l impiego, in veste di lavoratori, di cittadini terzi con soggiorno irregolare L applicabilità della responsabilità amministrativa e i soggetti interessati Ai sensi dell art. 5 del D. Lgs. n 231/2001, perché possa risultare come integrata la responsabilità amministrativa dell ente allorché sia stato commesso un reato da una persona fisica funzionalmente collegata all ente stesso, occorre che il reato sia stato commesso «nel suo interesse o a suo vantaggio», dacché l ente non risponde se il suo autore ha «agito nell interesse esclusivo proprio o di terzi». Inoltre, affinché, parallelamente alla responsabilità penale dell autore del reato (persona fisica), possa profilarsi la responsabilità amministrativa dell ente, è necessario che il reato sia stato commesso da soggetti che rivestano una posizione apicale all interno dell ente o da soggetti in posizione subordinata. 10 di 53

11 Più precisamente, sempre ai sensi dell art. 5, l ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (cosiddetti soggetti apicali) b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a) (cosiddetti sottoposti) Il modello di organizzazione e gestione e relative attività connesse Laddove il reato sia stato commesso da soggetti in posizione apicale, il Decreto Legislativo stabilisce che l ente non risponda amministrativamente se fornisce la prova che (art. 6): a) l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del reato, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi b) il compito di vigilare sul funzionamento e l osservanza dei modelli e di curare il loro aggiornamento è stato affidato ad un organismo dell ente dotato di autonomi poteri di iniziativa e di controllo c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione d) non vi è stata omessa o insufficiente vigilanza da parte dell organismo di cui alla lettera b). Ai sensi del comma II dell art. 6, il modello di gestione deve rispondere all esigenza di: 1) individuare le attività nel cui ambito possono essere commessi reati 2) prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire 3) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati 4) prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli 5) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Nell ipotesi in cui, invece, il reato sia stato perpetrato da «soggetti sottoposti all altrui direzione», l art. 7 del Decreto Legislativo prevede che l ente sia responsabile «se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione e vigilanza», inosservanza che è esclusa «se l ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi». La medesima norma dispone poi che il modello debba prevedere misure idonee a garantire lo svolgimento dell attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio; lo stesso articolo, inoltre, stabilisce che l efficace attuazione del modello richiede sia la «verifica periodica» e la «eventuale modifica» del modello nei casi in cui siano «scoperte significative violazioni delle prescrizioni» od in cui «intervengano mutamenti nell organizzazione o nell attività», sia un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello stesso. 11 di 53

12 2. Termini e definizioni Alta Direzione Consulenti Delega Dipendenti soggetti apicali quali Amministratore Delegato, Direttore Generale, nonché i soggetti titolari di deleghe e poteri conferiti direttamente dal Consiglio di Amministrazione i soggetti che agiscono in nome e/o per conto di i-faber in forza di un rapporto contrattuale di collaborazione o di specifico mandato l atto interno di attribuzione di funzioni e/o compiti i soggetti aventi un rapporto di lavoro subordinato con i-faber, ivi inclusi i dirigenti D. Lgs. n 231/2001 i-faber Modello Organi Sociali OVC Procura Struttura di i- Faber il Decreto Legislativo n 231, del 08 giugno 2001 i-faber S.p.A. il modello di Organizzazione e Gestione adottato dalla società per la prevenzione dei reati in conformità all art. 6 del Decreto Legislativo n 231 del 08 giugno 2001 il Consiglio di Amministrazione, il Collegio Sindacale di i-faber ed i rispettivi membri l Organismo di Vigilanza e Controllo, ente preposto alla vigilanza sul funzionamento e sull osservanza del modello gestionale, nonché al relativo aggiornamento l atto unilaterale di natura negoziale con il quale un soggetto conferisce, in maniera espressa, ad un terzo, il potere di rappresentanza la struttura organizzativa della Società cui si applica il modello rappresentato nel presente documento. La struttura è sinteticamente descritta nell organigramma di seguito riportato: 12 di 53

13 3. Il modello gestionale di i-faber 3.1. La società ed i servizi offerti i-faber si colloca tra i primi operatori mondiali nella fornitura di servizi e soluzioni per la gestione degli approvvigionamenti. È una società del Gruppo UniCredit che detiene il 65% del capitale e ha, tra i suoi principali azionisti, Erg (23%), Impreglio (8%) e Oracle (4%). i-faber vanta: operations in 20 paesi europei attività consolidata su oltre 500 categorie di acquisto esperienza pluriennale nella gestione della supply chain leader in Italia nei servizi per gli approvvigionamenti della P.A. esperienza in soluzioni per la dismissione di beni immobili e remarketing. Attraverso le piattaforme integrate Central Procurement, Pleiade, SolVe e MaNeM, i-faber consente di aumentare l efficienza e ridurre i costi di gestione della catena di approvvigionamento, coprendo tutte le fasi del processo di acquisto: dall analisi della spesa alla fatturazione e pagamento. Il portafoglio Clienti comprende oltre 300 aziende acquirenti attive e più di fornitori. La Società ha effettuato negoziazioni su oltre 500 categorie merceologiche e garantisce ai propri Clienti vantaggi relativamente a: risparmi (saving medio del 12%; abbattimento dei tempi di negoziazione tra il 50 e l 80%; semplificazione delle attività) maggiori opportunità (accesso ad un grande mercato di fornitura nazionale e internazionale; aumento competitività; allargamento della base fornitori; competenze professionali e benchmark) trasparenza e controllo (verso i fornitori e i clienti interni; verso le procedure e la normativa per quanto concerne la Pubblica Amministrazione). L attività di consulenza svolta da i-faber agisce in particolare sul processo di sourcing offrendo un ampio range di servizi: dalla definizione della strategia di sourcing all implementazione della metodologia, analisi della spesa, revisione dei fabbisogni, analisi della base fornitori, analisi della gestione dei contratti. Ulteriori servizi offerti da i-faber sono lo scouting e qualificazione dei fornitori nei diversi paesi di interesse con copertura globale e la vendita di Overstock: dalla individuazione di una lista di potenziali acquirenti di prodotti obsoleti o in overstock fino alla negoziazione I principi regolatori del modello Nella definizione, costruzione e applicazione del proprio modello, i-faber osserva i seguenti principi regolatori: una chiara e formalizzata assegnazione di poteri e responsabilità, coerente con le mansioni attribuite 13 di 53

14 la separazione delle funzioni, per cui l autorizzazione all effettuazione di una operazione deve essere sotto la responsabilità diversa da chi contabilizza, esegue operativamente o controlla l operazione (qualora il controllo venga effettuato da un unico soggetto). Tale principio dovrà comunque consentire la gestione efficiente dell attività aziendale la definizione di regole comportamentali idonee a garantire l esercizio delle attività aziendali nel rispetto delle leggi, dei regolamenti e dell integrità del patrimonio aziendale la disposizione di documentazione normativa per le singole attività aziendali, articolata in procure, poteri e deleghe, procedure In particolare il sistema delle deleghe prevede che: le deleghe siano coerenti con la posizione organizzativa ed aggiornate in conseguenza a variazioni organizzative in ogni delega siano specificati i poteri del delegato ed il soggetto cui il delegato riporta i poteri specificati nella delega siano allineati e coerenti con gli obiettivi aziendali il delegato possieda autonomia decisionale e di spesa adeguati alla funzione ed ai compiti conferiti. Il sistema delle procure prevede che: le procure siano assegnate a soggetti provvisti di delega interna le procure descrivano i poteri conferiti e, ove necessario, siano accompagnate da una comunicazione che illustri i limiti di estensione, fermi restando i vincoli di budget le procure siano assegnate a persone fisiche. Il sistema delle procedure prevede che: vengano definite e regolamentate le modalità e le tempistiche di svolgimento delle attività aziendali a rischio reato sia garantita, ove possibile, l oggettività dei processi decisionali (ad esempio con la predisposizione di albi fornitori qualificati, la definizione di criteri oggettivi di selezione e valutazione del personale etc.). la tracciabilità delle operazioni (sia legate alle attività operative che a quelle di controllo), volta a garantire che ogni operazione, transazione e/o azione sia verificabile, documentata, coerente e congrua Composizione del modello Il modello gestionale di i-faber è costituito dalla seguente documentazione la cui architettura (ivi incluse le relazioni forti e deboli tra i singoli documenti) è rappresentata nella figura seguente: 14 di 53

15 1) Modello di organizzazione e gestione di i-faber, documento che descrive i principi regolatori, gli aspetti generali ed alcuni aspetti puntuali riferiti ad elementi operativi correlati al decreto (es. Organismo di Vigilanza e Controllo, sistema sanzionatorio, ecc.); 2) Analisi di Rischio di i-faber, documento che descrive le attività all interno di ogni processo, l esposizione a rischio (declinata per tipologia specifica di reato) ed i controlli suggeriti a seguito della valutazione; 3) Documentazione relativa al Modello di organizzazione e gestione di i-faber, comprendente: Analisi di Rischio Modello di Organizzazione e Gestione Regolamenti, Procedure, Ordini di Servizio (documenti in allegato). Note: le procedure sono accompagnate / divulgate da apposito Ordine di Servizio la procedura Ciclo Passivo regolamenta il processo di impegno / spesa del budget il Regolamento di Spesa e il Modello organizzativo e di gestione per la salute e la sicurezza sono parte del Modello il Modello è divulgato attraverso specifico Ordine di Servizio Costruzione del modello Secondo le prescrizioni del D. Lgs. n 231/2001 e sulla base delle linee guida interne del Gruppo, l attività di creazione del Modello gestionale e la sua implementazione è articolata nelle seguenti fasi: identificazione dei processi e delle relative interazioni 15 di 53

16 In base allo standard internazionale UNI EN ISO 9001: 2008, sono mappati i processi e le relative interazioni; il risultato di tale mappatura e la relativa interrelazione, in termini macro, ai fini del miglioramento continuo del Modello sono illustrate nelle figure seguenti 16 di 53

17 Identificazione delle attività a rischio Durante tale fase sono condotte interviste, raccolte di documenti e analisi dei dati concernenti tutti i processi della società, evidenziando le eventuali attività esposte al rischio di illecito. Sono inoltre analizzate le aree riferite alla struttura organizzativa (es. procure per la gestione operativa) e alle politiche di gestione di omaggi e intrattenimenti. Identificazione e analisi degli attuali presidi al rischio Sulla base dei risultati ottenuti, è operato il confronto tra le procedure esistenti e le attività a rischio evidenziate. Al termine dell attività è possibile definire la gap analysis di i-faber, ovvero le aree e/o le attività non sufficientemente presidiate al fine di garantire l efficacia del Modello gestionale. Definizione dei protocolli Al fine di colmare i gap emersi nelle fasi precedentemente descritte, è prevista attività di integrazione della documentazione di i-faber esistente con le attività e i controlli definiti dalla Direzione e/o la produzione di documentazione normativa ex-novo. 17 di 53

18 4. L esposizione al rischio di illecito: premessa metodologica I processi definiti all interno di i-faber per una efficace ed efficiente erogazione del servizio possono essere esposti al rischio di commissione dei reati previsti dal D. Lgs. n 231/2001 secondo tre modalità distinte: 1) esposizione diretta, se l esecuzione delle attività all interno del processo sono di per se stesse esposte al rischio di commissione di illecito. Ad esempio, la richiesta di finanziamenti alla Comunità Europea, comportando un contatto diretto con la Pubblica Amministrazione, espone il personale incaricato direttamente ai reati di truffa, corruzione o indebita percezione di fondi 2) esposizione strumentale, se il processo di per se stesso non è esposto a rischio di illecito, ma lo è il suo risultato. Ad esempio: a) l assunzione di dipendenti legati a figure della Pubblica Amministrazione può costituire la dazione attraverso la quale si perfezionano i reati di corruzione: corruzione per l esercizio della funzione o per un atto contrario ai doveri d ufficio b) la stipula di contratti di consulenza, se effettuata senza particolari attenzioni o cautele, può costituire la modalità attraverso la quale costituire fondi da utilizzare per scopi di natura illecita. 3) nessuna esposizione, se l attività o il processo non presentano una significativa esposizione al rischio di commettere determinate categorie di reati. In base al tipo ed al grado di esposizione al rischio, ogni processo/attività è regolamentato da specifica documentazione interna: per tutte le aree aziendali valgono, inoltre, i principi di comportamento contenuti nella Carta di Integrità del Gruppo UniCredit. Infine, per assicurare una corretta gestione dei documenti che costituiscono il Modello in termini di redazione, verifica, approvazione e aggiornamento, i-faber ha definito la specifica procedura di Gestione della normativa interna. 18 di 53

19 5. I risultati dell analisi di rischio: i reati contro la Pubblica Amministrazione (artt. 24 e 25) 5.1. La definizione di Pubblica Amministrazione Per Pubblica Amministrazione si intendono tutti gli enti pubblici, territoriali e non, i membri e gli organi interni degli enti, compresi i pubblici funzionari. Agli effetti della legge penale viene considerato Ente della Pubblica Amministrazione qualsiasi persona giuridica che abbia in cura interessi pubblici e che svolga attività legislativa, giurisdizionale o giuridica in forza di norme di diritto pubblico e di atti autorizzativi. L art. 1, comma 2, del D. Lgs. n 165/2001 in tema di ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, include in tale categoria tutte le amministrazioni dello Stato. Non tutte le persone fisiche che agiscono nella sfera e in relazione dei suddetti enti sono soggetti nei confronti dei quali (o ad opera dei quali) si perfezionano le fattispecie delittuose previste dal D. Lgs. n 231/2001. In particolare le figure che assumono rilevanza a tal fine sono soltanto quelle dei Pubblici Ufficiali e degli Incaricati di Pubblico Servizio L esposizione al rischio I risultati dell analisi di rischio conducono a identificare, nell ambito dei processi aziendali, le seguenti attività come quelle, ora singolarmente, ora complessivamente considerate, in cui i-faber risulta maggiormente esposta al rischio di commissione dei citati reati: attività di marketing e di acquisizione del contatto con un potenziale cliente (prospect) gara servizi e-procurement (sia in forma diretta con la PA che per società che svolgono funzioni di pubblico servizio o che possano essere assimilabili a pubblici ufficiali) partecipazione a bandi di gara emessi dalla Pubblica Amministrazione, in autonomia o in ATI approvvigionamenti gestione risorse umane politiche di gestione degli omaggi aziendali attivazione del servizio MKTP aste (servizi, formazione, gestione, supporto ed assistenza, aggregazione fornitori e gestione albo, creazione listini) processi in outsourcing interazione e supporto del Pubblico Ufficiale in sede di controlli e fasi ispettive a cui è sottoposta la società. È appena il caso di segnalare che i settori degli approvvigionamenti (ordini / contratti con fornitori, professionisti e consulenti) e del personale, benché non implichino diretto contatto con la Pubblica Amministrazione, possono comportare il rischio di commissione di fatti corruttivi (es. la stipulazione di un contratto per una prestazione inesistente può costituire il mezzo per far ottenere, direttamente o indirettamente, il prezzo della stessa a un Pubblico Ufficiale o a un Incaricato di Pubblico Servizio, ovverosia il «denaro» di cui alle fattispecie di corruzione anche attraverso la costituzione di fondi 19 di 53

20 «extracontabili» cui pure la fattispecie si presta; analogamente valga in caso di assunzione di personale legato alla P.A., che potrebbe costituire per un Pubblico Ufficiale o un Incaricato di Pubblico servizio «utilità» ai sensi delle norme in materia di corruzione). In ogni caso, e più in generale, è necessario prestare attenzione alla circostanza che, in ogni settore o attività in cui vi siano contatti diretti o indiretti di i-faber (o meglio di soggetti funzionalmente legati a essa, apicali o subordinati) con la Pubblica Amministrazione, la Società appare potenzialmente esposta al rischio di commissione dei reati di cui all art. 24 e di parte dei reati previsti dall art. 25 del D. Lgs. n 231/2001, rischio che comporta, parallelamente alla responsabilità dell autore del reato, la responsabilità amministrativa a carico dell ente sussistendone i presupposti, ai sensi del Decreto in esame. In particolare, nelle attività sopra elencate, sussiste anzitutto il rischio di commissione, da parte di soggetti che rivestano in i-faber una delle posizioni rilevanti ex D. Lgs. n 231/2001, del reato di corruzione per un atto contrario ai doveri dell ufficio (art. 319 c.p.) o del reato di induzione indebita a dare o promettere utilità (art. 319 quater c.p.). Assumono inoltre rilievo ai sensi e per gli effetti di cui al D. Lgs. n 231/2001 le fattispecie di corruzione «impropria», vale a dire di corruzione per l esercizio della funzione (art. 318 c.p.). Altro reato di cui potenzialmente sussiste il rischio di commissione nell ambito dell attività di i-faber ed in particolare nei settori sopra elencati, è quello di «istigazione alla corruzione», di cui all art. 322 c.p.. Prescindendo dalle attività societarie nell ambito delle quali si possono sviluppare condotte illecite penalmente rilevanti, occorre anche valutare la possibilità che il rischio di commissione delle fattispecie delittuose indicate dagli articoli 24 e 25 del D. Lgs. si sviluppi in un ambito ispettivo / di indagine / di controllo da parte della P.A. verso la società. In tali ambiti si potrebbero verificare con maggiore probabilità episodi di concussione (art. 317 c.p.); la concussione dipende dall operato del pubblico ufficiale che, abusando della sua qualità o dei suoi poteri, costringe un terzo a promettere indebitamente denaro o altre utilità; in tal senso, il rischio che si verifichi un illecito del genere, posto che ciò non sarebbe solo funzionale alla condotta del dipendente di i-faber, ma sarebbe originariamente e principalmente legato alla condotta del Pubblico Ufficiale o dell Incaricato di un Pubblico Servizio, non si può escludere. Inoltre, sempre nell ambito di controlli o fasi ispettive a cui viene sottoposta la Società è astrattamente configurabile il rischio di commissione del reato di Induzione indebita a dare o promettere utilità, che punisce il Pubblico Ufficiale o l Incaricato di Pubblico Servizio che abusando della qualità o dei poteri induca taluno a dare o promettere indebitamente denaro o altra utilità. È prevista, in tal caso, la pena della reclusione anche in capo al soggetto concusso. Per quanto concerne l ipotesi della frode informatica (art. 640 ter c.p.), l attività di i-faber non risulta significativamente esposta a rischio di commissione, atteso che da quanto emerso in sede di analisi, la società dispone di adeguati sistemi e procedure per la gestione dei back-up, dei supporti rimovibili ed applica sistemi operativi che prevedono apposite procedure per le attività di gestione dei sistemi di autorizzazione e di autenticazione informatica; i livelli di accesso sono definiti secondo modalità di profilazione degli utenti e protetti da password personali criptate non visibili agli amministratori di sistema; ed inoltre, per quanto attiene la sicurezza, la Società si conforma ai criteri di cui al proprio Documento Programmatico sulla Sicurezza in materia di privacy. Peraltro, la pressoché esclusiva gestione da parte dell outsourcer di servizi infrastrutturali, di parte dell infrastruttura informatica della Società e la correlativa sostanziale impossibilità per i-faber di interferire sulla piattaforma informatica messa a disposizione dei clienti se, da un lato, riducono il rischio di commissione di illeciti da parte di i-faber (eccezion fatta per le ipotesi di concorso), dall altro fanno 20 di 53

21 emergere la necessità per la società di poter accertare e verificare l effettiva, adeguata ed efficace osservanza da parte ddel citato outsourcer dei controlli descritti nella documentazione afferente i rapporti inter partes Misure per la prevenzione Per quanto concerne i rapporti con la P.A. va inoltre tenuto in considerazione che alla luce della nuova disciplina derivante dalla Legge 06 novembre 2012, n 190, dai Decreti Legislativi di attuazione n 33 e n 39 del 2013, oltre che dal D.P.R. n. 62 del 2013, dal D.P.C.M. 18 aprile 2013 e dal Piano Nazionale Anticorruzione (emanato dall Autorità vigilante in materia, l A.N.AC. Autorità nazionale anticorruzione) anche le Pubbliche Amministrazioni sono tenute a dotarsi di sistemi di prevenzione dei reati c.d. corruttivi. Il quadro della suddetta normativa restituisce l immagine di un azione che anticipa ulteriormente la prevenzione dei reati contro la P.A. rispetto a quanto richiesto dal D.Lgs. n 231/2001. Pertanto, agli enti soggetti a questa disciplina è richiesta una collaborazione attiva ad ampio raggio estesa a tutti i reati contro la Pubblica Amministrazione che provveda altresì alla creazione di un ambiente sfavorevole per la realizzazione dei reati c.d. corruttivi. Tutti questi presidi dovrebbero determinare un più alto standard precauzionale di contrasto ai fenomeni corruttivi da parte delle Amministrazioni Pubbliche, pertanto, agli enti che intrattengono rapporti con queste ultime, potrebbe essere richiesto di adeguarsi a livelli preventivi più alti nell ambito delle attività che coinvolgono la Pubblica Amministrazione. Esemplificando, potrebbe configurarsi per i-faber l esigenza di condividere i principi e le norme predisposte nei Piani Triennali di Prevenzione della Corruzione (previsti ex art. 1 c. 8 della L. n 190/2012) adottati dall Ente Pubblico in questione; ovvero la possibilità di interagire con il Responsabile della prevenzione della corruzione (previsto ex art. 1 c. 7 della L. n 190/2012). Nell ambito delle procedure ad evidenza pubblica potrebbe invece essere richiesta la pubblicazione di determinate informazioni finalizzate a garantire gli standard di trasparenza stabiliti ex D.Lgs. n 33/2013. Le regole generali applicabili a qualunque rapporto tra destinatari del presente Modello e qualunque esponente della Pubblica Amministrazione sono state normate attraverso la predisposizione di principi di riferimento contenuti nella Carta di Integrità del Gruppo UniCredit. Per quel che riguarda invece, le specifiche attività e controlli implementati al fine di prevenire i reati contro la Pubblica Amministrazione, i-faber ha predisposto la seguente documentazione normativa interna: procedura Acquisizione dell incarico ed erogazione del servizio verso la Pubblica Amministrazione, relativa a tutte le attività di contatto commerciale con la Pubblica Amministrazione (sia in forma diretta che attraverso partecipazione a bando di gara) nonché di implementazione della piattaforma dedicata e di erogazione del servizio di asta elettronica procedura Gestione delle attività commerciali, relativa a tutte le attività di contatto commerciale con soggetti privati o assimilabili a Pubblici ufficiali o Incaricati di Pubblico Servizio ordine di servizio Politiche di regali e omaggi aziendali procedura Gestione amministrativa, relativa all esecuzione di tutte le operazioni richieste da una corretta gestione contabile delle attività societarie (es. emissione fatture, esecuzione di operazioni bancarie tramite home-banking) procedura Ciclo passivo, che regolamenta le attività legate all impegno del budget aziendale di ogni area 21 di 53

22 procedura Rapporti con la PA, che regola il comportamento da tenere in caso di ispezioni/richieste di informazione da parte di pubblici ufficiali ordine di servizio Processi di gestione delle Risorse Umane, che norma le attività di selezione, assunzione e formazione del personale, nonché di cessazione del rapporto di lavoro e di gestione amministrativa ordinaria del personale. Infine ci si riporta a quanto definito nel Modello di Organizzazione e di Gestione di UniCredit del quale, con particolare riferimento ad alcune aree «sensibili» (ATI e Approvvigionamenti) si richiamano i seguenti controlli/attività: apposizione di una clausola contrattuale che obblighi il contraente (collaboratori esterni, intesi siano essi persone fisiche - consulenti, professionisti ecc. - o società) «ad attenersi ai principi del Modello nell'attività che riguarda l impresa» ogni qualvolta la tipologia di approvvigionamento sia considerata esposta a rischio di commissione dei reati previsti dal D. Lgs. n 231/2001 con particolare riferimento ai partner legati in joint venture - o comunque in altri rapporti contrattuali come ad esempio l ATI «si prevede che la società - prima di legarsi a terzi con stabili vincoli contrattuali - svolga un adeguata procedura di due diligence volta a verificare la reputazione del soggetto con cui si intende contrattare e dei suoi principali esponenti, soci e amministratori, la situazione finanziaria, la competenza tecnica per rendere il servizio in oggetto del contratto, i maggiori clienti con cui opera ed i rapporti rispetto alle pubbliche autorità». 22 di 53

23 6. I reati informatici (art. 24 bis) 6.1. L esposizione a rischio La Legge n 48 del 18 marzo 2008, Ratifica ed esecuzione della Convenzione del Consiglio d'europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno ha apportato significative modifiche al Codice Penale e al D. Lgs. n 231/2001. Tra le principali modifiche si segnalano: l eliminazione della diversità nella definizione di "documento informatico" tra il diritto civile e il diritto penale l'introduzione del delitto di false dichiarazioni al Certificatore (art. 495-bis c.p.); la modifica dell'art quinquies (diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) la rivisitazione del danneggiamento di dati, programmi, e dei sistemi informatici, anche di pubblica utilità, con l'introduzione della punibilità a querela del danneggiamento di dati "privati" l'introduzione di una nuova fattispecie di frode informatica, commessa dal soggetto che presta servizi di certificazione di firma elettronica l'estensione ai reati "informatici" della responsabilità amministrativa degli enti, di cui al D. Lgs. n 231/2001. Per la natura dei servizi offerti dalla società, i-faber risulta potenzialmente esposta a tutte le fattispecie di reato previste dall articolo in oggetto, e la cui commissione è legata ad una potenziale non corretta configurazione e gestione di tutta la propria infrastruttura di Information Technology. Pertanto, le attività di i-faber esposte a reato possono considerarsi le seguenti: la gestione dell infrastruttura informatica dedicata alle attività interne dell azienda, gestita da i-faber e dalla società preposta appartenente al Gruppo UniCredit la gestione delle infrastrutture informatiche dedicate all erogazione del servizio di e-procurement, affidate in housing e/o hosting ad outsourcer della Società Misure per la prevenzione Le attività esposte a rischio di commissione dei reati in oggetto sono disciplinate dalle seguenti disposizioni (e relativi contenuti): contratto di service con la società del Gruppo UniCredit preposta e relativi allegati, il cui oggetto è l erogazione dei seguenti servizi: facility management e funzionalità applicative servizi di posta elettronica, fonia, accesso alla rete intranet ed internet aziendale storage rete di trasmissione dati contratti di outsourcing e relativi allegati, che hanno come oggetto la fornitura dei servizi di housing e/o hosting delle piattaforme informatiche dedicate al servizio di e-procurement 23 di 53

24 l insieme delle policies del Gruppo UniCredit in materia di gestione della sicurezza informativa, che contengono i principi di riferimento per tutte le attività correlate ad una sicura gestione delle informazioni procedura aziendale per la sicurezza delle informazioni, che riprende gli elementi principali delle policies di Gruppo e li dettaglia nelle modalità operative. 24 di 53

25 7. I delitti di criminalità organizzata (art. 24 ter) 7.1. Generalità L art. 10 della Legge n 146 del 2006 Ratifica della Convenzione ONU sulla lotta alla criminalità organizzata transnazionale aveva già previsto alcuni delitti associativi tra i reati presupposto nel caso in cui tali reati avessero carattere transnazionale. Tale introduzione ed estensione anche all ambito nazionale risponde all esigenza di rafforzare la lotta contro la criminalità di impresa. Il nuovo art. 24-ter D. Lgs. n 231 del 2001 prevede sanzioni pecuniarie e interdittive per l ente che commette uno degli illeciti dipendenti dai reati di criminalità organizzata: Associazione per delinquere - art. 416 c.p., Associazione di tipo mafioso - art. 416-bis c.p., Scambio elettorale politico mafioso - art. 416-ter c.p., Sequestro di persona a scopo di estorsione - art. 630 c.p., delitti commessi avvalendosi delle condizioni previste dall art. 416-bis c.p., Associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope - art. 74 D. Lgs. n 309 del 1990, delitti di illegale fabbricazione, introduzione nello Stato, messa in vendita, cessione, detenzione e porto d armi da guerra e di esplosivi - rif. art. 407 comma II lett. a) n 5 c.p.p.. La presenza di tale norma implica quindi che si valuti il rischio che uno o più dipendenti di i-faber vengano indagati/imputati per reati associativi (in materia di mafia, droga e sequestri di persona) e che tali reati siano stati commessi in favore e/o nell interesse dell ente L esposizione a rischio In riferimento a questa tipologia di delitti non pare che si possa rilevare alcun rischio di consumazione degli stessi in ambito aziendale; in effetti, anche in questo caso, il rischio che tali reati si verifichino nell ambito ordinario dell attività di i-faber è sostanzialmente nullo. Il tipo di attività che i-faber svolge sembrerebbe esente dal poter costituire anche solo una parte di una condotta tipicamente criminale. Inoltre, i presidi adottati nell ambito delle altre e diverse fattispecie di reato dovrebbero risultare efficienti anche in un ottica preventiva inerente a questi delitti Misure per la prevenzione Non si ritiene di dover adottare peculiari provvedimenti in merito all area di rischio evidenziata. In ogni caso, tra gli specifici presidi di controllo si dovrà tenere conto che, al fine della prevenzione dei delitti con finalità associativa, il rischio maggiore è rappresentato dalla controparte : in concreto, la principale attività di prevenzione per questa categoria di reati sarà rappresentata dalla verifica che la persona fisica o giuridica con la quale l ente intrattiene rapporti commerciali sia in possesso di adeguati requisiti di professionalità e di onorabilità. 25 di 53

26 8. I risultati dell analisi di rischio: i reati di falsità in monete, in carte di pubblico credito e in valori di bollo, i delitti con finalità di terrorismo o di eversione dell ordine democratico, i delitti contro la personalità individuale e i reati transnazionali (artt. 25 bis, 25 quater e 25 quinquies) 8.1. L esposizione a rischio In linea generale, occorre tener presente che i settori in cui sussiste il rischio di commissione dei reati sopra descritti e ai quali si consiglia comunque di prestare attenzione, sono i seguenti: flussi finanziari fondi aziendali impiego delle disponibilità liquide partecipazioni societarie selezione, assunzione, gestione ed amministrazione del personale sistemi telematici o informatici. Ciò premesso, per quanto attiene l attività di i-faber, le ipotesi delittuose di cui agli artt. 25-bis (falso nummario), 25-quater (delitti con finalità di terrorismo ed eversione dell ordine democratico) e 25- quinquies (delitti contro la personalità individuale) risultano in linea di massima, solo astrattamente ed in linea teorica ipotizzabili a carico della Società: l attività di i-faber non risulta significativamente esposta a rischio di commissione di tali reati, atteso che, da quanto emerso in sede di analisi, la società, allo stato, non svolge alcuna azione a mezzo o in occasione della quale gli stessi possano venir perpetrati. Peraltro, e con particolare riguardo ai delitti di cui all art. 25-quater, appare opportuno prestare attenzione alla circostanza che, comunque, benché le tipologie delittuose appaiano volte più alla realizzazione di un interesse o di un vantaggio individuale dell autore dell illecito che della società, come indicato da Confindustria, «il rischio di commissione di reati funzionali al finanziamento del terrorismo può concretizzarsi in misura maggiore in alcuni ambiti (attività, funzioni, processi), fra i quali sicuramente assumono una rilevanza centrale i settori finanziario ed amministrativo». Si osserva che, per ciò che concerne le fattispecie contemplate dal citato articolo 25-quinquies (fra le quali: pornografia minorile, adescamento di minorenni e iniziative turistiche volte allo sfruttamento della prostituzione), possono escludersi possibili vantaggi o interessi della società. Ciò vale anche con riferimento a taluni dei delitti di cui al 25-bis, ove può ritenersi del tutto minimale il rischio che l attività tipica di i-faber S.p.A. possa, costituire occasione o mezzo mediante i quali possano integrarsi le citate fattispecie di reato. Da notare infine, per quel che riguarda i reati transnazionali, che la L. n 146 del 16 marzo 2006, che, all articolo 10, indica i reati presupposto, tra i quali, a titolo di esempio, l associazione a delinquere e l associazione a delinquere di stampo mafioso, il contrabbando di tabacchi e il traffico illecito di sostanze 26 di 53

27 psicotrope, nonché il favoreggiamento dell immigrazione clandestina, prevede, tra le condizioni sancite dall articolo 3, che elenca le caratteristiche del reato transnazionale, che una delle condizioni di realizzazione di tali reati sia il coinvolgimento di un gruppo criminale organizzato. Si evince, infatti, dal dettato normativo dell art. 3 della citata Legge che è da considerarsi transnazionale il reato di: associazione di tipo mafioso associazione per delinquere, anche finalizzata al contrabbando di tabacchi lavorati esteri o al traffico illecito di sostanze stupefacenti o psicotrope riciclaggio impiego di denaro, beni o utilità di provenienza illecita induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all autorità giudiziaria favoreggiamento personale traffico di migranti purché risponda alle seguenti condizioni: punito con la pena della reclusione non inferiore - nel massimo - a quattro anni in cui sia coinvolto un gruppo criminale organizzato nonché: che sia commesso in più di uno Stato ovvero sia commesso in uno Stato, ma una parte sostanziale della sua preparazione, pianificazione, direzione o controllo avvenga in un altro Stato ovvero sia commesso in uno Stato, ma in esso sia implicato un gruppo criminale organizzato impegnato in attività criminali in più di uno Stato ovvero sia commesso in uno Stato ma abbia effetti sostanziali in un altro Stato Misure per la prevenzione Al fine di adottare tutte le cautele necessarie a evitare il concretizzarsi delle citate fattispecie delittuose, ci si riporta a quanto definito dal Modello di Organizzazione e di Gestione di UniCredit S.p.A., alla Carta di Integrità del Gruppo e al contenuto degli specifici Ordini di Servizio. i-faber ha inoltre predisposto la seguente documentazione normativa interna: Gestione delle attività commerciali, relativa a tutte le attività di contatto commerciale con soggetti privati ordine di servizio Processi di gestione dell infrastruttura informatica (per quanto relativo agli applicativi utilizzati dalla Direzione Markets e dalle funzioni a questa subordinate) procedura Ciclo passivo, che regolamenta le attività legate all impegno del budget aziendale di ogni area. 27 di 53