Introduzione al concetto di Legal Compliance Integrata (LCI). Parte I

di Nicola Tilli -

Non vi è una definizione propriamente giuridica di legal compliance nel nostro ordinamento né tantomeno una definizione giuridica condivisa dai professionisti del settore. Tutt’al più alcuni cenni di natura tecnica in materia di auditing dipingono in modo non netto ma frammentario uno scenario in cui esperti di estrazione composita tentano di porre ordine al novero di conformità legali a cui le aziende oggigiorno devono attenersi.

La carenza definitoria non è casuale. Stiamo parlando di un settore (la conformità normativa) che ha fatto il suo pieno ingresso nell’alveo del diritto vivente solo negli ultimi vent’anni e quindi da poco tempo può essere oggetto di analisi sistematica.

Intendiamo per diritto vivente quel diritto spontaneo, autogeneratosi per necessità di mercato o della comunità, che esiste benché non ancora pienamente inquadrabile in istituti giuridici spesso per pigrizia intellettuale.

Ogni discorso programmatico è quindi ancora in via d’approfondimento e ogni riflessione non è solo ben accetta bensì non può che essere accolta come contributo alla creazione di un nuovo diritto di frontiera.

Ciò nonostante tutti gli operatori del settore sanno di che stiamo trattando: “Legal compliance is the effort by businesses to ensure that they are following legal regulations and laws so they can avoid criminal penalties, punitive damages and lawsuits. Even companies that are complying but do not adequately report evidence of their compliance can be subjected to investigations that can cost the company money. They can also receive negative press[1].

La legal compliance è lo sforzo da parte del mondo degli affari di assicurarsi che vengano seguite le regole e le leggi che permettano di “contemperare le ragioni dell’efficacia preventiva con quelle, ancor più ineludibili, della massima garanzia”[2], e di evitare sanzioni penali, danni punitivi e cause legali.

E’ una questione di assoluta rilevanza sia per chi non si adegua che per chi si è eventualmente già adeguato.

Infatti, persino le compagnie a norma che non abbiano trascurato i propri profili di compliance ma non ne abbiano adeguatamente dato evidenza in strutture e protocolli validi per la loro conformità possono essere soggette a indagini che possono comportare costi rilevanti.

Possono anche subire pubblicità di stampa negativa (il cd. danno reputazionale).

Quest’approccio non sottolinea solo l’aspetto di adeguamento cogente, ma suggerisce anche l’opportunità di una divulgazione volontaria della propria compliance al pubblico dei competitors, degli investitori, dei consumatori, dei controllori (le Authority e il potere giudiziario) in un complessivo disegno che costituisca un buon auspicio per un posizionamento credibile sul mercato.

Ciò detto, occorre chiedersi, quale sia il senso di un approfondimento sul tema se le regole ci sono e sono definite.

Il senso sta innanzitutto nel colmare, ad esempio, la lacuna di una lettura sistematica dell’argomento che oggi è difatti latente.

Si studia “la 231” (così la chiamano anche se è un decreto – sostantivo maschile – e non una legge – sostantivo femminile) separatamente dalla sicurezza sul lavoro o dalla normativa antiriciclaggio; non si fanno a loro volta convergere tali legislazioni specialistiche con i codici etici volontari o con le regole volontarie di governance che l’impresa si è data.

Si studia il profilo di responsabilità dell’impresa dal punto di vista criminale (così per i penalisti) o dal punto di vista societario e di governance (così per i civilisti che redigono le regole interne).

Si ha in altre parole una occlusa visione a macchia di leopardo, mentre un approccio unitario darebbe veramente “senso di conformità” a un insieme di regole del sistema-azienda rilette e riadeguate grazie a una visione più ampia.

Un tale risultato sembra in effetti essere imprescindibile per aspirare a una vera adeguatezza che deve ricercarsi in primo luogo nell’integrazione delle varie normative, dei sistemi interni di controllo già esistenti, dei vecchi e nuovi protocolli o modelli di gestione delle problematiche di compliance.

D’altra parte, il senso di questo studio è anche nell’approccio giuridico che si veicola in quanto il tema della compliance o della legal compliance che dir si voglia, data la sua complessità strutturale e multidisciplinare che attinge in parte in ambito economico, in parte in ambito tecnico e in parte in ambito normativo, è stato abiurato o non approfondito a sufficienza da studiosi di diritto, nonostante la mole di informazioni (leggi, standard di categoria, usi e prassi di settore) a disposizione.

Già da questi brevi ragionamenti embrionali, i giuristi sarebbero comunque da ritenersi colpevoli perché potrebbero trarre spunto, da più parti, per un degno approfondimento dottrinario e per iniziare una sistematizzazione scientifica dell’argomento basandosi sulle proprie esperienze professionali, così come potrebbero mutuare la definizione di legal compliance dal mercato, ove si è affermata in senso tecnico e con modalità pragmatiche per rielaborare il concetto in modo più organico e rigorosamente scientifico.

Dal primo punto tecnico-pragmatico (quello delle imprese) abbiamo detto provvisoriamente cosa si intenda per legal compliance. Dal punto di vista dell’approfondimento scientifico-giuridico, che è scopo del lavoro, per legal compliance dobbiamo oggettivamente intendere quel complesso di conformità normative a cui l’azienda deve uniformarsi in vari settori della sua attività per adeguarsi a quanto prescrivono leggi, regolamenti, best practices di categoria o prassi di settore.

Come è intuibile, l’argomento è composito anche in relazione alle fonti.

Vi è grande differenza tra doversi adeguare alla legge, alle Authority o uniformarsi a codici di associazioni di categoria o, ancora, a prassi del mercato non istituzionalizzate in alcuna regola scritta che sia dello Stato o di organismi volontari dell’associazionismo professionale.

Per una impresa, ad esempio, si tratta della differenza che intercorre tra un obbligo di adeguamento prescritto dalla legge e un adeguamento volontario spontaneo in adempimento a best practices di settore o in codici etici di autoregolamentazione.

Sottovalutazione, scarsa focalizzazione e un certo misconoscimento del tema tra gli operatori del diritto, hanno anche un’intima ragione d’essere costituita dal fatto che chiunque se ne occupi professionalmente è normalmente preso ad ordinare solo il suo settore di competenza, che si tratti di conformità in materia di privacy, di diritto ambientale, di sicurezza sul lavoro o di altro e non si occupa di sistematizzare il concetto ampliando la propria visione.

D’altra parte, nemmeno il protagonista della compliance (compliance officer) ha gli strumenti per farlo internamente perché la strutturazione aziendale in cui è inserito è solitamente organizzata per divisioni più o meno rigide che non prevedono un reale e valido interscambio di dati, a volte ridotto ai minimi termini.

Prendiamo, ad esempio, il caso delle conformità rilevanti in un’industria pesante che attengono prevalentemente alla materia di sicurezza sul lavoro e alle connesse regole per la prevenzione dei relativi reati di lesioni e morte sul posto di lavoro.

Ci sono realtà aziendali di alto livello anche quotate, leader nel proprio settore di competenza, dove si rileva uno scarso interscambio di informazioni tra la divisione che ha approntato i modelli di organizzazione e gestione di prevenzione dei reati di cui sopra e la divisione che ha approntato i protocolli aziendali di valutazione dei rischi sul lavoro, come se i due profili non fossero altamente compenetrati tra loro dal punto di vista della comune tutela e nelle intenzioni del legislatore.

Parimenti, si potrebbe fare analogo discorso per valutare la conformità delle imprese bancarie e finanziarie in relazione alle conformità per loro più sensibili ovvero quelle relative alla correttezza delle informazioni rilasciate al mercato, alla adeguata verifica antiriciclaggio e alla prevenzione del relativo reato di riciclaggio.

In questo caso alcune realtà istituzionali hanno approntato congrui meccanismi in materia di adeguata verifica dei soggetti da cui provengono i capitali in funzione di prevenzione del rischio di riciclaggio, ma non hanno parimenti adottato alcun modello organizzativo ex D.Lgs. 231/2001 che contenga protocolli applicativi con procedure chiare per prevenire il reato di riciclaggio oppure, nel caso di esistenza di entrambe le procedure (antiriciclaggio e 231) non hanno previsto modalità di interscambio adeguate dei flussi di informazione rilevanti.

Ovviamente ci si deve chiedere che senso abbia eseguire un check di adeguata verifica della clientela in chiave antiriciclaggio (tramite i formulari KYC[3]) solo al momento dell’insorgenza del rapporto economico (apertura conto) senza continuare a monitorare in divenire (cosa che rischia di avvenire in caso di assenza o di inadeguato modello 231) come si dispiega il rapporto al fine di prevenire disallineamenti successivi al momento della verifica iniziale della clientela (ad esempio un controllo antiriciclaggio solo al momento dell’apertura del rapporto e del versamento dei fondi, non può tener conto adeguatamente di cambi successivi di compagini sociali, passaggi di quote, finanziamenti di shadow banking[4] che invece sono più adeguatamente valutabili da un vero e proprio monitoraggio 231).

Situazioni di questo tipo sono esemplificative di carenze basilari e foriere di futuri problemi in quanto il vizio endemico di base è costituito sempre dalla mancanza di organicità del sistema.

Difatti, occuparsi di privacy, antiriciclaggio, sicurezza sul lavoro, responsabilità amministrativa dell’ente senza ratio sistematica non permette una visione di insieme che è invece essenziale.

Che cos’è dunque la legal compliance se non un’unica conformità adeguata che l’azienda deve mantenere a fronte di tutte queste normative valutate nel loro insieme?

Occorre finalmente rendersi conto che tutte queste normative si esplicano e si sviluppano con sistemi di reciproca influenza e non possono essere trattate e studiate isolatamente l’una dall’altra.

Allo stesso modo, lo specialista (che sia un tecnico del diritto, della gestione di impresa, un economista o un consulente globale) deve comprendere il rischio continuo di operare senza una visione generale che spesso rischia di mancargli.

E’ chiaro che “la specializzazione esasperata sia un po’ come il sonno della ragione cioè genera mostri; nel senso che finisce che noi sappiamo sempre di più su sempre di meno. Il bagaglio delle conoscenze aumenta a dismisura, ma su ambiti sempre più ristretti. La visione diventa, quindi, sempre più limitata, più asfittica: “io conosco sempre di più, mi infilo in un pozzo sempre più profondo, ma riesco a vedere sempre meno intorno a me……”.…Impedisce di riconoscere l’esatta collocazione del problema nel contesto che è un dato fondamentale…. Noi non possiamo smarrire questo dato cruciale, fondante: se sappiamo sempre di più su sempre di meno, arriveremo indefettibilmente alla paralisi, all’incapacità di assistere, di consigliare”[5].

“…Non possiamo perderci nella specializzazione, dobbiamo ricordarci di saper alzare lo sguardo per riconoscere dove stiamo andando: se teniamo gli occhi bassi per terra, sul sentiero, magari sempre più piccolo (perché la specializzazione ti porta sempre per sentieri più angusti) riconosceremo i sassi più piccoli, le pietruzze minute, ma potremmo non accorgerci che dalla costa del monte precipita un masso che ci travolge…. Posso sapere a memoria repertori interi della Cassazione su uno specifico tema, ma non accorgermi che a fianco di quel problema dietro il quale mi sono perduto, ve n’è un altro, estraneo alle mie conoscenze settoriali, che rischia di travolgere il soggetto che si è rivolto a me……Non bisogna lasciarsi andare alla iterazione, alla spasmodica settorializzazione, occorre mantenere un saldo radicamento, una salda padronanza delle regole generali, dei principi fondanti…. Quando siamo sempre aggiornati su quelli che sono gli strumenti ermeneutici fondamentali, allora abbiamo quella capacità metodologica che ci serve a poter guardare, alzando gli occhi al problema per risolverlo, collocandolo nel contesto”.

Ecco qual è esattamente il nostro problema.

L’ordinamento ha sviluppato negli ultimi venti anni una serie di regole sempre più penetranti per la gestione della governance delle aziende, ma le regole riguardano materie distinte.

Lo stesso ordinamento forse colpevolmente le ha redatte spesso con modalità disgiunte e non organiche proprio perché esse tendono a disciplinare il proprio settore.

Resta però il fatto che tutte queste regole rispondono l’una alle altre, avendo il comune scopo di fondare un quadro uniforme di conformità aziendale.

Ancora ulteriormente, esse seguono il contesto di regole ancor più generali da sempre presenti nel diritto civile, nel diritto penale, nel diritto dell’economia d’impresa e in quello societario-commerciale ovvero, in altre parole, essendo le odierne regole di conformità di origine normativa (non più solo prassi o best practices) l’errore di non occuparsene in modo sistematico è più che veniale perché ogni singola legge speciale che ha creato il quadro strutturale dei processi di adeguamento e conformità in ogni singola materia risponde sempre ai principi generali dell’ordinamento.

Al contrario, ogni regola ha dato adito a una sorta di specializzazione di settore (l’esperto 231, l’esperto in materia di sicurezza sul lavoro, l’esperto in materia di antiriciclaggio) ma ciò ha anche contribuito ad allontanare lo specialista dal quadro generale.

Ciò riguarda non solo i responsabili della compliance all’interno dell’azienda dove una sorta di specializzazione del manager in seno ad una divisione di ruoli è comprensibile, ma più colpevolmente è estendibile agli studiosi in materia di cui, ad esempio, l’impresa si vuole avvalere come consulenti o formatori o a cui le istituzioni universitarie, in qualità di educatori e insegnanti, dovrebbero demandare il ruolo di pionieri nella costruzione e implementazione di un nuovo sistema e/o strutturazione scientifica dell’argomento.

Invece, ad oggi, lo studio della legal compliance è ancora marginalizzato in qualche accenno in corsi di studio come quelli di diritto penale commerciale che attengono solo parzialmente alla conformità normativa, in quanto materia autonoma, e non possono esaurirla.

In questo senso la mancanza di visione complessiva è una colpa che comporta una conseguente mancanza di conoscenza dato che ogni tipo di ordinamento contiene un quid di sistematico, per questo motivo, la perdurante carenza di “organicità di sistema” comporta il rischio di partorire sempre dei “nani di soluzione”.

Per di più, tutte le conformità normative hanno ormai un raggio talmente estensivo e capillarmente pervasivo che i vari ambiti di competenza si lambiscono quando non si intersecano completamente: basti pensare che tutti gli adeguamenti in tema di privacy, ambiente, sicurezza sul lavoro regolati dai principi delle proprie leggi speciali che costituiscono il loro ius positum sono, contemporaneamente, moduli di prevenzione del rischio di reato-presupposto per quanto sancito dal D. Lgs. 231/2001.

Tracciata una nuova strada occorre quindi implementare un cammino da poco intrapreso e consolidarlo.

Questo osservatorio – che l’Editore mi consente e che ringrazio insieme al deus ex machina di tutta l’iniziativa che risponde al nome di Giuseppe Cassano – vuole essere un contributo in questo senso e il diritto dell’Internet ha ovviamente il peso specifico dello strumento digital ineludibile per sistematizzare nel 2020 una tale mole di adempimenti di compliance.

[1]          Definizione di Charles Pearson

[2]    Relazione governativa al D.lgs. 231/2001, in Guida al Diritto, n. 26/2001; Anche in appendice a AA.VV. (a cura di Garuti), Responsabilità degli enti per illeciti amministrativi dipendenti da reato, Milano, 2002.

[3]    NdA: come è noto, i formulari Know yoru Customer sono dei documenti standard molto tecnici in cui l’istituzione bancaria finanziaria raccoglie tutte le informazioni personali e professionali del nuovo cliente rilevanti per tracciarne un adeguato profilo di rischio in chiave antiriciclaggio nonché in relazione a qualsiasi altra normativa cogente.

[4]    Il fenomeno dello shadow banking è costituito da tutta una serie di canali non istituzionali di approvvigionamento di liquidità quali possono, ad esempio, essere le migliaia di fondi di investimento non quotati di emanazione e origine privata.

[5]          Intervento del Prof. Mucciarelli al convegno “Educare alla professione: organizzazione e valorizzazione delle risorse umani dello studio” organizzato dal CNF.