CNP Vita Assicura S.p.A.
MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO
Ai sensi dell’art. 6, comma 1, lett. a) del Decreto Legislativo
n. 231 dell’8 giugno 2001
CNP Vita Assicura S.p.A.
EDIZIONE NOVEMBRE 2023
(approvato dal CDA in data 13 dicembre 2023)
Definizioni
- “Attività Sensibili”: attività aziendali esposte alla potenziale commissione dei reati di cui al D. Lgs. n. 231/2001.
- “Codice Etico”: Codice Etico approvato dal Consiglio di Amministrazione della Società.
- “Dipendenti”: i soggetti aventi un rapporto di lavoro subordinato, ivi compresi i dirigenti, nonché i dipendenti in regime di somministrazione di lavoro che prestano la propria attività per la società (cd. “lavoratori somministrati”) ed i dipendenti distaccati da altre Società.
- “Destinatari”: i destinatari del Modello che si impegnano al rispetto del contenuto dello stesso, e segnatamente:
• coloro che svolgono, anche di fatto, funzioni di rappresentanza, gestione, amministrazione, direzione o controllo della Società o di una unità organizzativa di questa, dotata di autonomia finanziaria e funzionale;
• i Dipendenti, i lavoratori subordinati e collaboratori della Società, di qualsiasi grado e in forza di qualsivoglia tipo di rapporto contrattuale, ancorché distaccati all’estero o da altre società del Gruppo CNP Assurances e che operino nell’interesse della Società;
• chi, pur non appartenendo alla Società, opera su mandato o nell’interesse della medesima;
• in generale, controparti contrattuali della Società.
- “D. Lgs n. 231/2001” o il “Decreto”: il Decreto Legislativo dell’8 giugno 2001 n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300) e successive modifiche e integrazioni.
- “Modello di Organizzazione, Gestione e Controllo” o “Modello”: il presente Documento Illustrativo del Modello di Organizzazione, Gestione e Controllo e tutte le norme predisposte ai fini del Sistema di Controllo Interno a presidio del rischio di commissione dei reati di cui al D. Lgs. n. 231/2001.
- “Organismo di Vigilanza” o “OdV”: l’Organismo interno della Società, preposto alla vigilanza sul funzionamento e sull’osservanza del Modello e di promuoverne l’aggiornamento, ai sensi dell’art. 6 del D. Lgs. n. 231/2001.
- “Outsourcing”: l’accordo tra un’impresa di assicurazione e un fornitore di servizi, anche se non autorizzato all’esercizio di attività assicurativa, in base al quale il fornitore realizza un processo, un servizio o un’attività che verrebbero altrimenti realizzati dalla stessa impresa di assicurazione.
- “Process Owner”: persone in grado di fornire le informazioni di dettaglio sui singoli processi aziendali e sulle attività delle singole funzioni (es. Responsabile dell’Ufficio).
- Regolamento: Regolamento IVASS n. 38 del 3 luglio 2018 s.m.i. recante disposizioni in materia di sistema di governo societario delle imprese e dei gruppi assicurativi.
- “Società” o “Impresa” o “Ente”: CNP Vita Assicura S.p.A.;
- “Soggetti Apicali” o “Apicali”: persone che rivestono funzioni di rappresentanza, amministrazione o direzione o che esercitano, anche di fatto, la gestione e il controllo della stessa (art. 5, comma 1, D. Lgs. n. 231/2001).
- “Soggetti in posizione subordinata” o anche “sottoposto”: soggetto sottoposto ai poteri di direzione e controllo dei soggetti “apicali” (ad es. dipendente, consulente, agente ecc.).
- “Terzi”: soggetti non appartenenti a CNP Vita Assicura S.p.A. ai quali la medesima si rapporta nello svolgimento della propria attività.
Sommario
MODELLO DI ORGANIZZAZIONE,GESTIONE E CONTROLLO 1
3
7
1. Descrizione del quadro normativo
9
1.1 La responsabilità amministrativa delle Persone Giuridiche 9
1.2 Presupposti della responsabilità amministrativa delle Persone Giuridiche 9
1.4 Ambito territoriale di applicazione del Decreto 11
1.6 Presupposti di esclusione della responsabilità amministrativa dell’ente 14
1.7 Struttura della Società 15
1.9 Modello di governance societaria 16
1.10 Il Sistema dei Controlli Interni 17
1.11 Processi esternalizzati 20
1.12 Le Attività esternalizzate 21
1.13 Adeguamento di CNP Vita Assicura alle previsioni del Decreto 22
1.14 Linee guida delle associazioni di categoria 22
2. Componenti del Modello: descrizione
24
2.1 Costruzione del Modello 24
2.5 Sistema dei poteri (principi e logiche di attribuzione delle deleghe e dei poteri) 29
2.6 Politiche e procedure operative 29
2.7 Controllo di gestione e dei flussi finanziari 30
2.9 Sistema delle segnalazioni 32
2.10 Programma di sensibilizzazione e formazione del Modello 36
2.11 Il sistema disciplinare e sanzionatorio a fronte di violazioni del Modello 37
2.11.1 Accertamento della violazione 37
2.11.2 Misure nei confronti dei Dipendenti non dirigenti 38
2.11.3 Misure nei confronti dei Dipendenti dirigenti 39
2.11.4 Misure nei confronti dei collaboratori esterni e degli intermediari 39
2.11.5 Misure nei confronti degli Amministratori 40
2.11.6 Misure nei confronti dei Sindaci 40
2.11.7 Misure nei confronti dei componenti dell’Organismo di Vigilanza 40
40
3.1 Caratteristiche dell’Organismo di Vigilanza 41
3.3 Durata, nomina, revoca e cessazione 43
3.5 Modalità di interazione con le altre funzioni aziendali 46
3.6 Flussi informativi verso l’Organismo di Vigilanza 47
3.7 Flussi informativi dall’Organismo di Vigilanza 48
3.8 Raccolta e Conservazione delle informazioni 49
4. Aggiornamento e adeguamento del Modello
49
Glossario e acronimi
Collegio Sindacale o Comitato per il Controllo Interno ai sensi del D. Lgs. 39/2010 o “CS” |
Consiglio di Amministrazione o “CdA” o “Organo Amministrativo” o “Consiglio” |
Organismo di Vigilanza ex D. Lgs. 231/2001 o “OdV” |
Comitato Controllo Interno e Rischi o CCIR |
Comitato Remunerazioni |
Internal Audit o IA o Revisione Interna |
Risk Management o Funzione di Risk Management o Funzione Risk |
Compliance o Funzione Compliance |
Funzione Antiriciclaggio o Funzione Anti-Money Laundering o Funzione AML |
Titolari delle Funzioni Fondamentali ai sensi dell’art. 28 del Regolamento IVASS n.38/2018. |
Responsabile delle attività di controllo sulle attività essenziali o importanti esternalizzate ai sensi dell’art. 5, del Regolamento IVASS 38/2018. |
Premessa
La Società ha provveduto ad elaborare il presente “Documento Illustrativo del Modello di Organizzazione, Gestione e Controllo” tenendo conto delle “Linee Guida per il settore assicurativo in materia di responsabilità amministrativa” e relativi suggerimenti operativi predisposti dalla Associazione di categoria (ANIA), nonché delle altre principali Associazioni di Categoria (Confindustria, ABI), nonché degli orientamenti giurisprudenziali e dottrinali in materia e delle best practices di riferimento.
Il presente documento è composto da una Parte Generale e da una Parte Speciale, come di seguito rappresentato.
I Destinatari sono tenuti alla conoscenza ed all’osservanza dei principi contenuti nel presente documento.
1. Descrizione del quadro normativo
1.1 La responsabilità amministrativa delle Persone Giuridiche
Il Legislatore italiano, in esecuzione della delega di cui alla Legge 29 settembre 2000, n. 300, ha emanato in data 8 giugno 2001 il Decreto Legislativo n. 231, recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, adeguando la normativa italiana in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali.
Il Legislatore Delegato ha introdotto il riconoscimento di una responsabilità amministrativa in capo alle Persone Giuridiche che si aggiunge a quella (penale) riconoscibile in capo alle Persona fisiche che hanno materialmente commesso i reati. Tali responsabilità sono entrambe oggetto di accertamento nel corso del medesimo procedimento innanzi al Giudice penale.
1.2 Presupposti della responsabilità amministrativa delle Persone Giuridiche
Il Decreto ha delimitato l’ambito dei soggetti destinatari della normativa agli “enti forniti di personalità giuridica, società e associazioni anche prive di personalità giuridica” (di seguito, in breve, “enti”).
Secondo quanto previsto dal Decreto, gli enti rispondono in via amministrativa della commissione dei reati, analiticamente indicati dal Legislatore nel Decreto e sue successive integrazioni, qualora sussistano determinati presupposti, e segnatamente:
- sia stato commesso uno dei reati previsti dal Decreto (di seguito, “reati presupposto”);
- il reato sia stato commesso nell’interesse o a vantaggio dell’ente;
- il reato sia stato commesso da un soggetto apicale o da persone sottoposte alla sua direzione o vigilanza.
Infatti, presupposto per la determinazione della responsabilità dell’ente è la commissione di determinati reati nell’interesse o a vantaggio dell’ente stesso da parte di:
- persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché persone che esercitano, anche di fatto, la gestione e il controllo dell’ente (c.d. “soggetti in posizione apicale” o “Soggetti Apicali”);
- persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto precedente (c.d. “soggetti in posizione subordinata” o “Soggetti Sottoposti”).
A questo proposito, è opportuno rilevare che potrebbero essere ricompresi nella nozione di Soggetti Sottoposti anche quei prestatori di lavoro che, pur non essendo “dipendenti” dell’ente, abbiano con esso un rapporto tale da far ritenere sussistente un obbligo di vigilanza da
parte dell’ente medesimo: quali ad esempio, i partners commerciali, i broker, gli agenti riassicuratori, i promotori finanziari ecc. nonché i c.d. parasubordinati in genere, fornitori, consulenti, collaboratori.
La distinzione tra le due categorie di soggetti (Apicali e Sottoposti) riveste indubbia rilevanza, in quanto ne deriva una diversa graduazione di responsabilità dell’ente coinvolto, nonché una differente previsione dell’onere della prova.
Tuttavia, la responsabilità dell’ente è esclusa nel caso in cui le persone che hanno commesso il reato abbiano agito nell’interesse esclusivo proprio o di Terzi.
L’ente non va esente da responsabilità quando l’autore del reato non è stato identificato o non è imputabile e anche nel caso in cui il reato si estingua per una causa diversa dall’amnistia. È comunque prevista una forma di esonero dalla responsabilità qualora l’ente dimostri di aver adottato ed efficacemente attuato “modelli di organizzazione e gestione” idonei a prevenire la realizzazione degli illeciti penali contemplati dal Decreto.
1.3 Reati presupposto
Occorre precisare che le fattispecie di reato suscettibili di configurare la responsabilità amministrativa dell’ente sono soltanto quelle espressamente richiamate da determinati articoli del Decreto.
Tali fattispecie sono, per comodità espositiva, riconducibili alle seguenti categorie:
- reati contro la Pubblica Amministrazione (articoli 24 e 251 del Decreto);
- delitti informatici e trattamento illecito dei dati (articolo 24-bis2 del Decreto);
- delitti di criminalità organizzata (articolo 24-ter del Decreto);
- falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni diriconoscimento (articolo 25-bis del Decreto);
- delitti contro l’industria e il commercio (articolo 25-bis.1 del Decreto);
- reati societari (articolo 25-ter3 del Decreto);
- delitti con finalità di terrorismo o di eversione dell’ordine democratico (articolo 25-quater del Decreto);
- pratiche di mutilazione degli organi genitali femminili (articolo 25-quater.1 del Decreto);
- delitti contro la personalità individuale (articolo 25-quinquies del Decreto);
- abusi di mercato (articolo 25-sexies del Decreto e, all’interno del TUF, articolo 187- quinquies “Responsabilità dell’ente”4);
- omicidio colposo o lesioni gravi o gravissime, commesse con violazione delle norme sulla tutela della salute e della sicurezza sul lavoro (articolo 25-septies del Decreto);
1 Art. 24 del Decreto come modificato dal D.lgs. 75/2020, di attuazione della Direttiva UE 2017/1371; Art. 25 del Decreto come modificato dalla legge n.190/2012, dalla legge n. 3/2019 e dal D.lgs. 75/2020, di attuazione della Direttiva UE 2017/1371.
2 Art. 24-bis del Decreto come modificato dal D.Lgs. n. 7 e 8/2016 e dal D.L. n.105/2019 convertito con modificazioni dalla L. 18 novembre 2019, n. 133. 3 Art. 25-ter del Decreto come modificato dal D.Lgs. 15 marzo 2017 n. 38.
4 L’articolo 187-quinquies del TUF disciplina la responsabilità dell’ente in relazione ad alcuni illeciti amministrativi previsti nello stesso Capo del TUF, secondo criteri analoghi a quelli previsti dal Decreto. Modificato per opera del D.Lgs. del 10 agosto 2018, n.107.
- ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonchéautoriciclaggio (articolo 25-octies5 del Decreto);
- reati in materia di strumenti di pagamento diversi dai contanti (art. 25-octies.1 del Decreto);
- altre fattispecie in materia di strumenti di pagamento diversi dai contanti (art. 25-octies.1, comma 2 del Decreto);
- induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'Autorità giudiziaria (articolo 25-decies del Decreto);
- reati ambientali (articolo 25-undecies del Decreto);
- impiego di cittadini di paesi terzi il cui soggiorno è irregolare (art. 25-duodecies del Decreto);
- razzismo e xenofobia (art. 25-terdecies del Decreto);
- reati transnazionali, introdotti dalla Legge 16 marzo 2006, n. 146, “Legge di ratifica ed esecuzione della Convenzione e dei Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale”;
- reati di frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi d’azzardo esercitati a mezzo di apparecchi vietati (art. 25 quaterdecies6 del Decreto);
- reati tributari (art. 25 quinquiesdecies7 del Decreto);
- reati di contrabbando (art. 25 sexiesdecies del Decreto)8;
- reati contro il patrimonio culturale (art. 25 septiesdecies del Decreto);
- riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici (art. 25 duodiviecies del Decreto).
Occorre precisare che l’ente può rispondere della commissione dei summenzionati reati presupposto anche nella forma del tentativo9.
1.4 Ambito territoriale di applicazione del Decreto
Il Decreto prevede, inoltre, che l’ente possa essere chiamato a rispondere in Italia in relazione a reati - rilevanti ai fini del Decreto - commessi all’estero (ai sensi dell’art. 4 del Decreto), qualora ricorrano le seguenti condizioni:
- che esso abbia la sede principale in Italia;
- che nei confronti dell’ente non proceda lo Stato del luogo in cui è stato commesso il fatto;
- che, nei casi in cui il colpevole sia punito a richiesta del Ministro della Giustizia, detta richiesta sia formulata anche nei confronti dell’ente stesso.
5 Art. 25-octies del Decreto come modificato dal D. Lgs. 4 luglio 2017 n.90.
6 Art. 25-quaterdecies del Decreto, introdotto dalla Legge 3 maggio 2019 n. 39.
7 Art. 25-quinquiesdecies introdotto dal Decreto Legge del 26 ottobre 2019 n. 124, convertito, con modificazioni, dalla legge del 19 dicembre 2019, n. 157 e successivamente modificato dal D.lgs. 75/2020, di attuazione della Direttiva UE 2017/1371.
8 Art. 25-sexiesdecies introdotto dal Decreto Legislativo del 14 luglio 2020 n. 75 di attuazione della Direttiva UE 2017/1371. 9 Ad eccezione delle fattispecie di cui all’art. 25-septies del Decreto.
Occorre precisare che le regole appena richiamate riguardano, unicamente, reati commessi interamente all'estero da Soggetti Apicali o Sottoposti.
1.5 Sanzioni applicabili
Le sanzioni previste dal Decreto a carico degli enti a seguito della commissione o tentata commissione dei reati comportanti la responsabilità amministrativa degli stessi sono riconducibili alle seguenti categorie:
- sanzioni pecuniarie;
- sanzioni interdittive;
- confisca del prezzo o del profitto del reato;
- pubblicazione della sentenza.
Quando l’ente è ritenuto responsabile dei reati individuati dagli artt. 24 e ss. nella forma del tentativo, le sanzioni pecuniarie (in termini di importo) e le sanzioni interdittive (in termini di tempo) sono ridotte da un terzo alla metà10.
É esclusa l’irrogazione di sanzioni nei casi in cui l’ente impedisca volontariamente il compimento dell’azione o la realizzazione dell’evento. L’esclusione di sanzioni si giustifica, in tal caso, in forza dell’interruzione di ogni rapporto di immedesimazione tra ente e soggetti che assumono di agire in suo nome e per suo conto.
Sanzioni pecuniarie
Le sanzioni pecuniarie si applicano in tutti i casi in cui sia riconosciuta la responsabilità dell’ente. Le sanzioni pecuniarie vengono applicate per “quote”, in numero non inferiore a cento e non superiore a mille, mentre l’importo di ciascuna quota va da un minimo di € 258,23 ad un massimo di € 1.549,37.
Il Giudice determina il numero di quote sulla base dei seguenti indici: gravità del fatto, grado della responsabilità dell’ente, attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti, mentre l’importo della quota è fissato sulla base delle condizioni economiche e patrimoniali dell’ente coinvolto.
Sanzioni interdittive
Le sanzioni interdittive, irrogabili nelle sole ipotesi tassativamente previste e solo per alcuni reati11, salvo quanto previsto dal Codice delle Assicurazioni Private12, sono:
10 Ad esempio, se la sanzione prevista è pari ad € 2.582,3 (10 quote di € 258,23), la sanzione può essere ridotta da un terzo sino alla metà di €2.582,3 e quindi la sanzione applicabile potrà variare da €1.291,5 (riduzione della metà della sanzione prevista) a €1.721,3 (riduzione di un terzo della sanzione prevista).
11 Il legislatore ha ritenuto applicabili le sanzioni interdittive solo ad alcune fattispecie di reato delle seguenti categorie: reati commessi nei rapporti con la Pubblica Amministrazione (artt. 24 e 25 del Decreto); delitti informatici e trattamento illecito dei dati (art. 24-bis del Decreto); delitti di criminalità organizzata (art. 24-ter del Decreto); falsità in monete, carte di pubblico credito, valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del Decreto); delitti contro l’industria e il commercio (art. 25-bis.1 del Decreto); delitti con finalità di terrorismo o di eversione dell’ordine democratico (art. 25-quater del Decreto); pratiche di mutilazione degli organi genitali femminili (art. 25-quater.1 del Decreto); delitti contro la personalità individuale (art. 25-quinquies del Decreto); omicidio colposo e lesioni gravi o gravissime, commesse in violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25-septies del Decreto); ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio (art. 25-octies del Decreto); delitti in materia di violazione del diritto d’autore (art. 25-novies del
▪ l’interdizione dall’esercizio dell’attività;
▪ la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito;
▪ il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;
▪ l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;
▪ il divieto di pubblicizzare beni e servizi.
Le sanzioni interdittive hanno una durata minima di tre mesi e massima di due anni e la scelta della misura da applicare e la sua durata viene effettuata dal Giudice sulla base dei criteri in precedenza indicati per la commisurazione della sanzione pecuniaria, tenendo conto dell’idoneità delle singole sanzioni interdittive a prevenire illeciti del tipo di quello commesso.
Confisca del prezzo o del profitto del reato
Con la sentenza di condanna è sempre disposta la confisca - anche per equivalente - del prezzo13 o del profitto14 del reato, salvo che per la parte che può essere restituita al danneggiato e fatti salvi i diritti acquisiti dai terzi in buona fede.
Pubblicazione della sentenza
La pubblicazione della sentenza di condanna in uno o più giornali, per estratto o per intero, può essere disposta dal Giudice, unitamente all’affissione nel Comune dove l’ente ha la sede principale, quando è applicata una sanzione interdittiva. La pubblicazione è eseguita a cura della cancelleria del Giudice competente ed a spese dell’ente.
Vicende modificative dell’ente
Il Decreto disciplina, inoltre, il regime della responsabilità patrimoniale dell’ente per le sanzioni irrogate con riferimento a vicende modificative, quali la trasformazione, la fusione, la scissione e la cessione d’azienda.
In particolare, in caso di trasformazione, l’ente “trasformato” rimane responsabile anche per i reati commessi anteriormente alla data in cui la trasformazione ha avuto effetto.
Per quanto concerne la fusione, anche per incorporazione, l’ente risultante dalla fusione risponde anche dei reati di cui erano responsabili gli enti partecipanti alla fusione stessa.
Decreto); reati ambientali (art. 25-undecies del Decreto); delitti in materia di contrabbando (art. 25-sexiesdecies del Decreto).
12 L’art. 266 del Codice delle Assicurazioni Private (D.Lgs. 209/05), rubricato “responsabilità per illecito amministrativo dipendente da reato”, al comma 4, dispone che “le sanzioni interdittive indicate nell’art. 9, comma 2, lett. a) e b), del D.Lgs. 8 giugno 2001, n. 231, non possono essere applicate in via cautelare alle imprese di assicurazione o di riassicurazione. Alle medesime non si applica, altresì, l’art. 15 del D.Lgs. 8 giugno 2001, n. 231”.
13 Il prezzo deve intendersi come denaro o altra utilità economica data o promessa per indurre o determinare un altro soggetto a commettere il reato. 14 Il profitto deve intendersi quale utilità economica immediatamente ricavata dall’ente.
In linea generale, nel caso di scissione parziale la società scissa rimane responsabile per i reati commessi anteriormente alla data in cui la scissione ha avuto effetto. Gli enti beneficiari della scissione parziale e totale diventano solidalmente responsabili per il pagamento delle sanzioni pecuniarie irrogate all’ente scisso, nel limite del valore effettivo del patrimonio netto trasferito.
Per quanto concerne le fattispecie di cessione e conferimento di azienda, il Decreto prevede una disciplina unitaria. In particolare, nel caso di cessione di azienda, il cessionario è solidalmente responsabile con il cedente per le sanzioni pecuniarie irrogate in relazione ai reati commessi nell’ambito dell’azienda ceduta, nel limite del valore trasferito e delle sanzioni risultanti dai libri contabili obbligatori ovvero delle sanzioni dovute ad illeciti dei quali il cessionario era comunque a conoscenza. É comunque fatto salvo il beneficio della preventiva escussione dell’ente cedente.
1.6 Presupposti di esclusione della responsabilità amministrativa dell’ente
Il Decreto prevede forme di esonero della responsabilità amministrativa degli enti. In particolare, l’articolo 6 stabilisce che, in caso di reato commesso da un Soggetto Apicale, l’ente non risponde se prova che:
- l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
- il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato ad un organismo della società dotato di autonomi poteri di iniziativa e di controllo;
- le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
- non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di vigilanza.
Pertanto, nel caso di reato commesso da Soggetti Apicali, sussiste in capo all’ente una presunzione di responsabilità dovuta al fatto che tali soggetti esprimono e rappresentano la volontà dell’ente stesso. Tale presunzione, tuttavia, può essere superata se l’ente riesce a dimostrare la sussistenza delle succitate quattro condizioni di cui all’art. 6 del Decreto.
In tal caso, pur sussistendo la responsabilità personale in capo al Soggetto Apicale, l’ente non è responsabile ai sensi del Decreto.
Al fine della prevenzione dei reati (art. 6 del Decreto), il modello di organizzazione, gestione e controllo deve:
- “individuare le attività nel cui ambito possono essere commessi reati”;
- “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente, in relazione ai reati da prevenire”;
- “individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati”;
- “prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”;
- “introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.
Nello stesso modo, l’art. 7 del Decreto configura la responsabilità amministrativa dell’ente per i reati realizzati da Soggetti Sottoposti, se la loro commissione è stata resa possibile dall’inosservanza degli obblighi di direzione o di vigilanza. In ogni caso, l’inosservanza di detti obblighi di direzione o di vigilanza è esclusa se l’ente dimostra di aver adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. Pertanto, in tale caso, l’adozione del modello di organizzazione, gestione e controllo da parte dell’ente costituisce una presunzione a suo favore, comportando, così, l’inversione dell’onere della prova a carico dell’accusa che dovrà, quindi, dimostrare la mancata adozione ed efficace attuazione del modello stesso.
Si precisa inoltre che, relativamente ai reati colposi in materia di salute e sicurezza sul lavoro contemplati dall’art. 25-septies del Decreto, l’art. 300 del D. Lgs. 81/2008 come successivamente integrato e modificato (“Testo Unico in materia di Salute e Sicurezza sul Lavoro”) stabilisce che il modello di organizzazione, gestione e controllo, affinché sia idoneo ad avere efficacia esimente, debba essere composto da peculiari componenti, adottato ed efficacemente attuato, assicurando che il sistema aziendale preveda specifiche procedure e disposizioni interne in grado di garantire l’adempimento di tutti gli obblighi giuridici dettati dallo stesso Testo Unico.
1.7 Struttura della Società
- CNP Vita Assicura S.p.A. : Socio Unico MONTPARVIE V
1.8 La Società
Come previsto dal relativo Statuto, la Società CNP Vita Assicura S.p.A., consorziata di CNP Vita S.c.a.r.l., ha per oggetto, sia in Italia che all’estero l’esercizio:
a) delle assicurazioni private sulla durata della vita umana;
b) delle assicurazioni private di nuzialità e di natalità;
c) delle assicurazioni private di cui ai punti a) - b) connesse con fondi di investimento;
d) dell'assicurazione malattia e assicurazione contro il rischio di non autosufficienza di
cui all'art. 2, comma 1, numero IV, del Decreto Legislativo n. 209, 7 settembre 2005, e successive integrazioni e modificazioni;
e) delle operazioni di capitalizzazione di cui all'art. 2, comma 1, numero V, del Decreto Legislativo n. 209, 7 settembre 2005, e successive integrazioni e modificazioni;
f) delle operazioni di gestione di fondi collettivi costituiti per l'erogazione di prestazioni in caso di morte, in caso di vita o in caso di cessazione o riduzione dell'attività lavorativa;
g) di ogni altro ramo o forma assicurativa sulla vita umana, ammessi dalle disposizioni legislative;
h) della relativa riassicurazione;
i) delle assicurazioni sugli infortuni e malattia di cui all'art. 2, comma 3, numeri 1 e 2, del Decreto Legislativo n. 209, 7 settembre 2005, e successive integrazioni e modificazioni. La società può inoltre:
- assumere interessenze, partecipazioni, rappresentanze di altre società, enti o imprese aventi oggetto o scopo analogo o connesso al proprio ed assumerne la gestione;
- compiere tutte le operazioni finanziarie, mobiliari ed immobiliari che saranno ritenute dal consiglio di amministrazione necessarie ed utili per il conseguimento dell'oggetto sociale e per l'impiego del patrimonio sociale;
- compiere qualsiasi altra operazione connessa o strumentale all'esercizio dell'attività assicurativa o riassicurativa.
1.9 Modello di governance societaria
Di seguito, si riporta l’elenco dei principali organi/organismi con una sintesi del ruolo ricoperto dagli stessi. In particolare, il sistema di corporate governance trova la sua attuazione nell’ambito degli organi/organismi qui di seguito elencati:
Organi Sociali della Società:
1. Assemblea dei Soci;
2. Consiglio di Amministrazione;
3. Collegio Sindacale;
4. Organismo di Vigilanza (si veda apposita sezione inclusa nel presente documento).
L’Assemblea dei Soci rappresenta l’universalità dei soci e le sue delibere, prese in conformità alla legge ed al relativo Statuto, obbligano tutti i Soci, anche se non intervenuti o dissenzienti. L’Assemblea delibera sulle materie, alla stessa riservate dalle disposizioni codicistiche di cui all’art. 2479 comma 2 codice civile.
Il ruolo del Consiglio di Amministrazione è stabilito dal codice civile nel sistema tradizionale e la regolamentazione dello stesso è stabilita dallo Statuto. Il Consiglio di Amministrazione è investito dei più ampi poteri per la gestione ordinaria e straordinaria della Società e ha facoltà di compiere tutti gli atti ritenuti necessari al raggiungimento dell’oggetto
sociale, esclusi quelli che la legge riserva tassativamente all’Assemblea.
Il Collegio Sindacale si riunisce almeno ogni trimestre e assiste alle riunioni del Consiglio di Amministrazione e alle Assemblee sociali. Il Collegio Sindacale svolge un controllo di legalità e di merito sull’attività svolta dalle Società. In particolare, il Collegio Sindacale vigila sull’osservanza della legge e dello Statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla Società e sul suo concreto funzionamento (ai sensi dell’art. 2403 codice civile), e svolge altresì le funzioni allo stesso affidate dalla normativa speciale di riferimento. Al Collegio Sindacale non spetta il controllo contabile (revisione del bilancio, individuale e consolidato, e verifica della regolare tenuta della contabilità), affidato, come richiesto dalla legge, ad una Società di revisione (che è un organo di controllo esterno) designata dall’Assemblea tra quelle iscritte nell'albo tenuto dalla Consob.
La Società di Revisione, in particolare, offre al Collegio Sindacale un riferimento esterno edindipendente rispetto all’Alta Direzione, con particolare riguardo agli aspetti di attendibilità del sistema amministrativo contabile. Nell’ambito dei propri compiti, spetta al Collegio Sindacale ed a ciascuno dei sindaci singolarmente, il diritto di procedere con atti di ispezione e controllo – anche per il tramite di propri dipendenti ed ausiliari – chiedendo notizia dell’andamento delle operazioni sociali o di determinati affari.
Sono attivi un proficuo dialogo e scambi informativi tra il Collegio Sindacale e la Società di revisione, finalizzati a garantire un efficace presidio di controllo negli ambiti di competenza comune.
1.10 Il Sistema dei Controlli Interni
Il Sistema dei Controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell’impresa ed a garantire, con un ragionevole margine di sicurezza:
a) l’efficienza e l’efficacia dei processi aziendali;
b) l’adeguato controllo dei rischi attuali e prospettici;
c) la tempestività del sistema di reporting delle informazioni aziendali;
d) l’attendibilità e l’integrità delle informazioni contabili e gestionali;
e) la salvaguardia del patrimonio anche in un’ottica di medio-lungo periodo;
f) la conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali.
***
Le Funzioni Fondamentali e la Funzione Antiriciclaggio sono costituite presso le Società CNP Vita Assicura S.p.A. e sono attualmente rappresentate da:
▪ Internal Audit;
▪ Compliance;
▪ Risk;
▪ Funzione Antiriciclaggio;
▪ Funzione Attuariale.
La Funzione Internal Audit ha la finalità principale di valutare e monitorare l’efficacia e l’efficienza del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario e le eventuali necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre Funzioni aziendali. La Funzione Internal Audit uniforma la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale verificando (i) la correttezza dei processi gestionali e l’efficacia e l’efficienza delle procedure organizzative, (ii) il rispetto delle procedure, delle leggi e dei regolamenti in vigore, (iii) la regolarità e la funzionalità dei flussi informativi tra settori aziendali, (iv) la governance aziendale, il rispetto dei limiti previsti dai meccanismi di delega nonché del pieno e corretto utilizzo delle informazioni disponibili nelle diverse attività, (v) l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni, (vi) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilità, (vii) l’efficienza dei controlli svolti sulle attività esternalizzate, (viii) gli impatti economici e finanziari delle scelte aziendali; (ix) la soddisfazione del cliente e la cura dell’assicurato.
La Funzione Internal Audit, inoltre, valuta la conformità dell’operatività aziendale ai principi etici adottati dalla Compagnia, contribuendo alla diffusione a tutti i livelli aziendali della cultura della legalità, dell’integrità morale e della cura del patrimonio aziendale.
Le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli organi sociali e alle altre Funzioni interessate sono definite nel mandato periodicamente rivisto, discusso e approvato dal Consiglio di Amministrazione della Società, previa discussione e preventiva positiva valutazione da parte Comitato Controllo Interno e Rischi (CCIR).
La Funzione Internal Audit pianifica e realizza le proprie attività di Audit e le attività di follow-up e le presenta, semestralmente, al CCIR e al Consiglio d’Amministrazione e in linea con i dettami del Regolamento IVASS n. 38/2018, avendo cura di sottoporre periodicamente a verifica anche le Funzioni di seconda linea: Compliance, Antiriciclaggio, Risk Management e Attuariale.
La Funzione Internal Audit valuta la potenziale presenza di casi di frode e come l’organizzazione gestisce tali rischi e, all’occorrenza, comunica tempestivamente all’Organismo di Vigilanza ex D.Lgs. 231/2001 eventuali criticità riscontrate. La Funzione Internal Audit svolge anche le attività espressamente attribuite dalle norme speciali emanate, ad esempio, dall’Autorità di Vigilanza. Ove necessario, la Funzione può effettuare verifiche non previste dal piano di Audit. La Funzione Internal Audit collabora costantemente
con le altre Funzioni Fondamentali e, all’occorrenza, anche con la Società di Revisione. Inoltre, l’Internal Audit incontra periodicamente le altre Funzioni Fondamentali.
L’Internal Audit può essere invitato al CCIR e al Comitato Remunerazioni (ove è invitato su richiesta ed in base alle necessità dei Comitati stessi).
L’Internal Audit è invitato periodicamente alle riunioni dei Collegi Sindacali e alle riunioni dell’Organismo di Vigilanza ex D. Lgs. 231/2001 per relazionare in merito alle attività svolte allo stesso.
La Funzione Compliance, ai sensi della normativa/regolamentazione vigente:
a) identifica in via continuativa le norme applicabili all’impresa e valuta il loro impatto sui processi e procedure aziendali, prestando attività di supporto, pareristica e consulenza agli Organi sociali e alle altre Funzioni aziendali coinvolte, con particolare riferimento al processo di governo e di controllo dei prodotti assicurativi (c.d. “POG” - Product Oversight Governance) - inclusa l’integrazione dei rischi di sostenibilità - monitorandone la progettazione, lo sviluppo e la revisione periodica dei nuovi prodotti e di quelli sostanzialmente modificati nonché le relative politiche, procedure, materiali formativi e/o ad uso commerciale nonché la documentazione pre-contrattuale;
b) valuta l’adeguatezza ed efficacia delle misure organizzative e procedurali adottate e dei relativi adeguamenti conseguenti alle azioni di mitigazione suggerite per la prevenzione dei rischi di non conformità e in materia di tutela del consumatore;
c) verifica il rispetto e la regolare applicazione delle procedure adottate per la gestione dei conflitti di interesse individuati, assicurandone l’aggiornamento della Politica di conflitto di interesse nonché del relativo registro. La Funzione è inoltre Titolare della Funzione è Presidente e Segretario del Comitato Conflitti di interesse e Operazioni Infragruppo. Inoltre, collabora al processo per l’attuazione di operazioni e/o attività di esternalizzazione;
d) predispone adeguati flussi informativi diretti agli Organi sociali e alle altre strutture coinvolte, concorrendo nelle attività di reporting anche a supporto dell’Organismo di Vigilanza e contribuendo all’aggiornamento del Codice Etico aziendale in collaborazione con la Funzione AML-CTF & Anticorruzione;
e) contribuisce a mantenere un dialogo costruttivo con le Autorità di Vigilanza monitorando l’adeguato e tempestivo riscontro alle stesse in caso di specifiche richieste e/o interventi ispettivi e curandone lo svolgimento delle specifiche attività di verifica richieste dalle Autorità di Vigilanza di settore;
f) contribuisce a diffondere la cultura della conformità all’interno della Compagnia.
La Funzione Risk monitora il rispetto del Risk Management Framework.
La Funzione Antiriciclaggio monitora il rispetto delle leggi, dei regolamenti o dei provvedimenti delle Autorità in ambito antiriciclaggio, contrasto al finanziamento del terrorismo, rispetto delle sanzioni internazionali e anticorruzione.
La Funzione Attuariale monitora in maniera indipendente la gestione di alcuni specifici
rischi (i.e. data quality sottostante al calcolo delle riserve; sottoscrizione dei nuovi contratti; riassicurazione; riserve tecniche) all'interno dell'azienda. Tale funzione, nell'ambito del sistema di governance previsto dalla direttiva Solvency II, ha il compito di supervisionare in maniera indipendente la gestione di alcuni specifici rischi all'interno dell'azienda e riferire al CdA eventuali inadeguatezze. La gestione di tali rischi si riferisce in particolare a quattro macro-aree:
▪ data quality sottostante al calcolo delle riserve;
▪ sottoscrizione dei nuovi contratti;
▪ riassicurazione;
▪ riserve tecniche.
1.11 Processi esternalizzati
Con particolare riguardo ai processi o porzioni di essi esternalizzati, il Regolamento 38 del 3 luglio 2018 dell’IVASS disciplina puntualmente le condizioni per l’esternalizzazione delle attività.
In particolare, detto Regolamento prevede che una società assicurativa possa concludere accordi di outsourcing, restando peraltro inteso che tali esternalizzazioni non esonerano in alcun caso gli organi sociali e i vertici aziendali della Compagnia dalle rispettive responsabilità.
Coerentemente con quanto sancito dal Regolamento citato, il Consiglio di Amministrazione della Società ha approvato la Politica di esternalizzazione e di scelta dei Fornitori, nella quale vengono definiti i criteri di:
• individuazione delle attività per cui è possibile una esternalizzazione,
• definizione di attività importanti o essenziali,
• selezione dei fornitori ed i metodi per la valutazione del livello di prestazioni del fornitore.
Gli accordi di outsourcing sono opportunamente formalizzati e prevedono altresì appositi SLA e KPI.
In linea con la normativa di cui al Regolamento n. 38/2018, i contratti di outsourcing devono prevedere:
• l’impegno della società fornitrice a sottoporre alle riceventi tali servizi “una puntuale rendicontazione delle attività dalla stessa poste in essere in relazione ai Servizi”;
• la facoltà per la società che riceve i servizi “di effettuare controlli periodici sull’espletamento dei servizi prestati anche durante la loro esecuzione, così come ad accedere, in qualunque momento, durante i normali orari di lavoro, previa semplice richiesta scritta, alla documentazione comprovante le operazioni effettuate in esecuzione dei Servizi”.
Inoltre, per tutti i contratti di esternalizzazione (sono stati nominati e/o identificati specifici Responsabili di prima linea (SRM – Supply Relation Manager) del controllo del servizio prestato, nonché il Responsabile delle attività di controllo sulle attività essenziali o importanti esternalizzate, nominato dall’Organo Amministrativo della Società.
1.12 Le Attività esternalizzate
CNP Vita Assicura S.p.A. ha deciso di esternalizzare a CNP Vita S.c.a.r.l.:
- la prestazione:
• di servizi fiscali;
• di servizi di amministrazione e finanza;
• di servizi IT (Information Technology);
• di servizi HR (Human Resources);
• di servizi Attuariato e Riserve;
• di servizi Customers: marketing e comunicazione;
• di assistenza legale e societaria;
• di servizi di Investments;
• di servizi Prodotti Vita e Riassicurazione Vita;
• di servizi Customer Care-Contact Center;
• servizi di supporto in ambito Transformation;
• di servizi Procurement: servizi di gestione acquisti, gestione immobili e manutenzione, gestione servizi;
• di servizi Security e Data Governance (che comprendono: sicurezza nel luogo di lavoro, formazione, ORCM, Business Continuity, data governance, special project, IT security);
• di servizi Distribution: Canale Vendite Bancassurance & FAS, Distribution Agreement & Network Support, Distribution Antifraud e Distribution Networks Training;
• di servizi Business Support: coordinamento analisi cross funzionali e attività progettuali ad hoc richieste dalla direzione;
• di servizi Contabilità Canali;
• di servizi Statistics, Commercial Planning & Analysis;
• di servizi Oversight e Administrative Inspections.
- fermo restando che in nessun caso potranno essere forniti servizi, non rientranti in attività, anche professionali, riservate ovvero non consentite nei limiti delle norme vigenti;
- la gestione accentrata degli adempimenti inerenti alla sicurezza sul lavoro, conformemente a quanto previsto dalla vigente normativa, garantendo ai propri consorziati, quali Datori di lavoro, il pieno rispetto degli obblighi inerenti all’idoneità dei
luoghi di lavoro e l'attuazione di tutte le idonee misure di prevenzione e gestione dell'emergenza;
- la locazione (con esclusione della attività di concessione in locazione finanziaria) e sublocazione di immobili con particolare riferimento all’organizzazione di postazioni di lavoro in condivisione, il noleggio di spazi e attrezzature;
- l’organizzazione e gestione di corsi di formazione per l’aggiornamento tecnico- professionale e ciò, ove possibile, in partnership con enti, istituzioni ed università beneficiando di eventuali contributi pubblici e/o privati.
1.13 Adeguamento di CNP Vita Assicura alle previsioni del Decreto
La Società presta nel continuo la massima attenzione tanto all’affermazione dei principi etici quanto alla conformità delle proprie attività alla normativa vigente. In tale contesto, la Società ha deciso di adottare il Modello di Organizzazione, Gestione e Controllo in ottemperanza al disposto del Decreto.
In ottemperanza a quanto previsto dallo stesso Decreto, il Consiglio di Amministrazione della Società ha cura di richiedere all’Organismo di Vigilanza nominato un puntuale aggiornamento dei contenuti del Modello di organizzazione, gestione e controllo onde adeguarne i contenuti alle variazioni sia di natura organizzativa e di processi della Società, che in forza delle novità normative nel tempo introdotte con riguardo, ad esempio, al perimetro di applicazione del Decreto.
L’impegno assunto dal Consiglio di Amministrazione, nel senso di garantire un regolare aggiornamento del Modello, vuole rappresentare non solo una modalità di concreta prevenzione dalla commissione di alcune tipologie di reato, ma anche un atto di responsabilità sociale che rientra nel quadro di un più generale impegno di gestione etica del business.
La redazione e il funzionamento del Modello hanno permesso, ad esempio, di consolidare e rafforzare:
- la cultura dell’integrità aziendale e del controllo, riducendo i rischi connessi a comportamenti non etici e favorendo la sensibilizzazione dei dipendenti in tale ambito;
- la credibilità etica nei confronti dei principali Stakeholder dell’Impresa (clienti, fornitori, collaboratori, ambiente, azionisti e società civile) e delle Istituzioni pubbliche, potenziando la reputazione aziendale;
- la trasparenza nella comunicazione interna ed esterna, favorendo l’allineamento dei comportamenti individuali alle strategie ed agli obiettivi aziendali.
1.14 Linee guida delle associazioni di categoria
L’art. 6, comma 3, del D. Lgs. n. 231/2001 prevede che “I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 215 sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della Giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati”.
Tale previsione normativa ha principalmente la finalità di promuovere, nell’ambito degli aderenti alle associazioni di categoria, l’allineamento ai principi espressi dal Decreto e, parimenti, di stimolare l’elaborazione di codici strutturati che possano fungere da punto di riferimento per gli operatori che si accingano a redigere un modello di organizzazione e gestione.
L’Associazione Nazionale per le Imprese Assicuratrici (ANIA) ha emanato le “Linee Guida per il Settore Assicurativo in materia di responsabilità amministrativa” elaborate per il settore assicurativo, ai sensi dell’art. 6, comma 3, del Decreto, al fine di predisporre una base per l’eventuale adozione da parte delle singole imprese assicuratrici di un “modello di organizzazione e gestione” idoneo, ai sensi dello stesso art. 6, comma 1, lett. a), a prevenire i reati e gli illeciti considerati dal Decreto predetto.
Le Linee Guida sono coerenti con le disposizioni in materia di controllo interno per le imprese di assicurazione e in particolare con il Regolamento n. 38 del 3 luglio 2018 “Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, Compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – Codice delle assicurazioni private” nella versione pro tempore vigenti.
Tali Linee Guida evidenziano l’importanza di un sistema articolato di attenzione e vigilanza nell’ambito aziendale che comprenda sia un controllo diretto a garantire la solvibilità dell’impresa di assicurazione e la sua sana e prudente gestione, e quindi anche la soddisfazione degli obiettivi strategici delineati dal vertice aziendale e l’attuazione delle istruzioni impartite dallo stesso vertice a tutela della stabilità dell’impresa e contro i pericoli che possono derivare da violazioni della disciplina pubblicistica del settore assicurativo o della legge in genere, nel quadro di uno sviluppo equilibrato dell’impresa e di una complessiva vigilanza prudenziale tipica dei settori finanziari, sia un controllo diretto alla assunzione di misure tali da impedire a tutti, compreso lo stesso vertice dell’impresa, di commettere o far commettere reati e illeciti nell’interesse o a vantaggio dell’impresa medesima.
Ciò premesso, si è ritenuto opportuno tenere in debita considerazione i contenuti delle “Linee Guida per il settore assicurativo in materia di responsabilità amministrativa” e dei
15 Art. 6, comma 2, del Decreto: “In relazione all'estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze individuare le attività nel cui ambito possono essere commessi reati;
a) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;
b) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
c) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli;
d) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.”
relativi suggerimenti operativi predisposti dalla Associazione di categoria (ANIA), nonché di rilevanti Associazioni di Categoria (Confindustria, ABI), degli orientamenti giurisprudenziali e dottrinali in materia e delle best practices di riferimento.
Le Associazioni di categoria, in particolare, contribuiscono all’individuazione degli elementi principali dei Modelli di organizzazione, gestione e controllo delle Imprese che rappresentano, in modo da definire con maggior definizione le modalità di prevenzione dei reati a cui le medesime sono concretamente maggiormente esposte. In particolare, i Modelli devono prevedere:
- l’individuazione delle attività nel cui ambito possono essere commessi i reati;
- la previsione di regole dirette a programmare la formazione e l’attuazione delle decisioni in relazione ai reati da prevenire e l’individuazione delle modalità di gestione delle risorse finanziarie;
- la nomina di un Organismo che abbia il compito di vigilare sul funzionamento e l’osservanza del modello organizzazione, gestione e controllo adottato dalla Società, e di curarne l’aggiornamento;
- la previsione di obblighi di informazione nei confronti dell’Organismo di Xxxxxxxxx;
- la previsione di un sistema di verifica periodica e di un aggiornamento periodico del Modello;
- la definizione di un idoneo sistema disciplinare e sanzionatorio con riferimento al rispetto del Modello e delle norme di comportamento previste;
- la diffusione del Modello adottato;
- la formazione del Personale in materia di responsabilità amministrativa degli enti, nonché in merito ai contenuti del Modello adottato dall’Impresa.
2. Componenti del Modello: descrizione
2.1 Costruzione del Modello
Il Modello prevede l’individuazione dei processi e delle attività nel cui ambito possono essere commessi i reati espressamente previsti dal Decreto. Si tratta, in altri termini, di quelle attività e processi aziendali che comunemente vengono definite “attività sensibili”.
La costruzione del presente Modello si è articolata nelle seguenti fasi:
(i) esame preliminare del contesto attraverso l’analisi della documentazione societaria rilevante e lo svolgimento di interviste con i Process Owner, al fine di rilevare l’effettiva organizzazione, i processi e le attività eseguite dalle varie Unità Organizzative/Funzioni aziendali;
(ii) individuazione delle aree di attività “a rischio” o – limitatamente ai reati contro la Pubblica Amministrazione ed al reato di cui all’art. 25 decies del Decreto – “strumentali” alla
commissione di reati, (di seguito, per brevità, cumulativamente indicate come le “Aree a Rischio Reato”);
(iii) definizione in via di ipotesi delle principali possibili modalità di commissione dei Reati Presupposto all’interno delle singole Aree a Rischio Reato;
(iv)rilevazione ed individuazione del sistema di controllo della Società finalizzato a prevenire la commissione dei Reati Presupposto.
I criteri di individuazione dei presidi di controllo finalizzati alla prevenzione del rischio di commissione dei reati previsti dal Decreto hanno tenuto conto dei seguenti livelli di controllo:
A) Principi generali di controllo, ai quali attenersi nel disegno del sistema di controllo interno a prescindere dal grado di rilevanza delle singole fattispecie di reato o dal grado di rischio sotteso a ciascuna delle aree “a rischio” identificate:
• segregazione delle attività (o separazione delle funzioni): deve esistere segregazione delle attività tra chi esegue, chi controlla e chi autorizza le operazioni;
• esistenza di norme e regole formalizzate: devono esistere disposizioni aziendali idonee a fornire almeno principi di riferimento generali per la regolamentazione delle attività, delle responsabilità e dei controlli;
• esistenza di deleghe e procure: il sistema delle deleghe e dei poteri deve essere adeguatamente formalizzato, comunicato e tempestivamente aggiornato nel tempo. Della comunicazione e avvenuta accettazione deve essere tenuta evidenza;
• tracciabilità: i soggetti, le funzioni/unità organizzative interessate e/o i sistemi informativi utilizzati devono assicurare l’individuazione e la ricostruzione delle fonti, degli elementi informativi e dei controlli effettuati che supportano la formazione e l’attuazione delle decisioni della Società e le modalità di gestione delle risorse finanziarie.
B) Principi generali di condotta, che prevedono disposizioni volte a guidare i comportamenti nonché le modalità di formazione ed attuazione delle decisioni, nell’ambito di ciascuna delle famiglie di reato.
C) Principi di controllo preventivo, che consistono in presidi di controllo specifici finalizzati a scongiurare il concretizzarsi delle modalità di attuazione delle fattispecie di reato in ciascuna delle “attività sensibili” per ciascuna delle aree “a rischio” mappate e riportate nelle Parti Speciali del presente Modello.
Il processo di identificazione delle attività sensibili ha previsto la predisposizione di un documento nel quale sono state descritte le potenziali modalità di commissione dei reati, i controlli previsti e le funzioni coinvolte nei processi.
Nello svolgimento delle attività si è tenuto conto, altresì, delle best practices, nonché degli orientamenti giurisprudenziali e dottrinali in materia.
2.2 Struttura del Modello
Il Modello è costituito da una Parte Generale, da una Parte Speciale e dagli eventuali allegati che si considerano parte integrante del Modello stesso.
2.3 Componenti del Modello
Il Modello adottato si fonda su un insieme integrato di metodologie e strumenti, composto principalmente dai seguenti elementi:
- Xxxxxx Xxxxx, che è portato a conoscenza anche dei soggetti esterni sui quali la Società esercita un potere di direzione o di vigilanza e di coloro che intrattengono rapporti stabili di affari con la Società stessa, nonché, più in generale, di quanti siano portatori di interessi nei suoi confronti;
- sistema organizzativo (organigramma) complessivo e dettagliato, per una chiara individuazione della struttura gerarchica e funzionale;
- sistemi dei poteri: principi e logiche di attribuzione delle deleghe e dei poteri per governare il conferimento delle facoltà di compiere atti attinenti all’esercizio delle attività aziendali;
- politiche e procedure interne per la regolamentazione delle attività operative, la definizione dei livelli di controllo e degli iter autorizzativi incluso il sistema informatico/informativo adottato;
- controllo di gestione e dei flussi finanziari, un meccanismo di verifica della gestione delle risorse per garantire l’efficienza e l’economicità delle attività della Società, oltre alla verificabilità e tracciabilità delle spese;
- sistema delle segnalazioni, per assicurare che chiunque ravvisi situazioni di possibile violazione delle norme prescritte possa informare le strutture competenti senza pericoli di ritorsione;
- sistema disciplinare, inteso come il sistema disciplinare che regola, per i Dipendenti, le condotte legate ai possibili casi di violazione del Modello;
- programma di sensibilizzazione e formazione ai Dipendenti in merito ai contenuti del Modello;
- sistema informativo tempestivo e attendibile che consenta adeguati flussi di comunicazione da/e verso l’Organismo di Vigilanza.
Parte Generale
La Parte Generale, oltre ad illustrare la ratio e i principi del Decreto, il sistema di
Governance aziendale, i principi del Sistema di Controllo Interno, delinea gli elementi costituenti le componenti del Modello, il processo di definizione dello stesso nonché i relativi principi di funzionamento e il ruolo dell’Organismo di Xxxxxxxxx deputato a vigilare sul funzionamento e sull’osservanza dello stesso nonché a curarne l’aggiornamento.
Parte Speciale
La Parte Speciale prevede specifiche sezioni strutturate per processo e aree di rischio in relazione alle famiglie di reato ritenute rilevanti per la Società.
A tal fine, la Parte Speciale contiene l’analisi normativa dei singoli reati richiamati dal Decreto ed i principi generali di condotta ai quali dovranno ispirarsi i comportamenti in tutte le aree potenzialmente “a rischio reato”. All’interno di ciascuna area “a rischio” vengono individuate le principali funzioni aziendali coinvolte, le “attività sensibili”, gli specifici reati astrattamente ipotizzabili, le relative modalità di commissione o le condotte strumentali alla commissione degli stessi, nonché i “controlli preventivi” ed i compiti dell’Organismo di Vigilanza in materia. Inoltre, in relazione alle famiglie di reato, ritenute a rischio remoto (come di seguito illustrato), sono state predisposte specifiche regole di condotta.
Di seguito sono indicate le famiglie di reato del Decreto che, all’esito delle attività di risk assessment, sono state ritenute maggiormente rilevanti in ragione del settore di operatività, dell’organizzazione e dei processi che caratterizzano la Società:
- reati contro la Pubblica Amministrazione (artt. 24-25);
- reati societari (art. 25 ter);
- reati di abuso di mercato (arti 25 sexies);
- reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio (art. 25 octies) e xxxxxxx con finalità di terrorismo o di eversione dell’ordine democratico (art. 25 quater);
- reati in materia di salute e sicurezza sul lavoro (art. 25 septies);
- reati di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 25 decies);
- reati tributari (art. 25 quinquiesdecies).
Di seguito sono indicate le famiglie di reato del Decreto che, all’esito delle attività di risk assessment, sono state ritenute astrattamente applicabili ma a rischio meno rilevante in ragione del settore di operatività, dell’organizzazione e dei processi che caratterizzano la Società:
- delitti informatici e trattamento illecito di dati (art.24 bis);
- delitti di criminalità organizzata (art. 24 ter);
- delitti contro la personalità individuale (art. 25 quinquies);
- reati in materia di strumenti di pagamenti diversi dal contante (art. 25-octies.1);
- delitti in materia di violazione del diritto d’autore (art. 25 novies);
- reati ambientali (art. 25 undecies);
- reati transnazionali L.146/2006;
- impiego di cittadini di paesi terzi il cui soggiorno è irregolare (art 25 duodecies).
Di seguito sono indicate le famiglie di reato del Decreto che, all’esito delle attività di risk assessment, sono state ritenute astrattamente non applicabili in ragione del settore di operatività, dell’organizzazione e dei processi che caratterizzano la Società:
- falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25 bis);
- delitti contro l’industria e il commercio (art. 25 bis 1);
- pratiche di mutilazione degli organi genitali femminili (art. 25 quater.1);
- reati di razzismo e xenofobia (art. 25 terdecies);
- reati di frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi d’azzardo esercitati a mezzo di apparecchi vietati (art. 25- quaterdecies);
- reati di contrabbando (art. 25-sexiesdecies)16;
- delitti contro il patrimonio culturale (art. 25-septiesdecies);
- riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici (art. 25 duodevicies);
Codice Etico
Il Codice Etico contiene un insieme di principi di deontologia aziendale che la Società ha fatto propri e richiede di rispettare a tutti coloro che intrattengono rapporti con la medesima, compresi i collaboratori esterni, gli intermediari e i partner commerciali, gli Amministratori e i Sindaci, promuovendo in tal modo il rispetto dell’integrità e dei valori etici da parte di tutto il personale nonché la correttezza operativa nello svolgimento dell’attività aziendale.
In particolare, il Codice Etico definisce regole comportamentali cui il personale deve attenersi,disciplina le situazioni di potenziale conflitto di interesse e prevede azioni correttive adeguate,nel caso di deviazione dalle direttive e dalle procedure approvate dal vertice, o di infrazione della normativa vigente e dello stesso Codice Etico.
Il Codice Etico in aggiunta al presente Modello e alla politica Whistleblowing è stato integrato rispetto alla normativa da ultimo vigente in applicazione del Decreto legislativo 10 marzo 2023, n. 24 – volto a disciplinare con un maggior grado di dettaglio il processo di segnalazione, dando maggior enfasi ai rispettivi canali di segnalazione - sia interni che esterni per le terze parti – illustrando tutte le modalità di segnalazione e garantendo le relative tutele ai segnalanti come riflesso nel relativo paragrafo.
2.4 Sistema organizzativo
Il sistema organizzativo della Società è caratterizzato da una precisa definizione delle competenze e dei compiti di ciascuna area aziendale, delle linee di dipendenza gerarchica
16 Art. 25-sexiesdecies, introdotto dal D.lgs. 75/2020, attuativo della Direttiva UE 2017/1371.
e, laddove applicabile, funzionale e delle connesse responsabilità.
La documentazione di cui la Società si è dotata per rappresentare il proprio sistema organizzativo e per disciplinare il proprio operato anche in relazione alle attività sensibili ai fini del Modello di organizzazione, gestione e controllo include, a titolo esemplificativo, quanto di seguito indicato:
- organigramma;
- contratti di outsourcing con terze parti, mediante i quali vengono gestiti interi processi o porzioni di essi.
2.5 Sistema dei poteri (principi e logiche di attribuzione delle deleghe e dei poteri)
Il Sistema dei Controlli Interni della Società si basa anche su un’architettura di poteri formalizzata, che costituisce parte integrante e sostanziale del presente Modello e, come tale, viene opportunamente comunicata all’interno della Società. La “delega” costituisce un atto interno di attribuzione di funzioni, compiti e responsabilità. La “procura” (o potere di “firma/rappresentanza”) consiste, invece, in un atto giuridico unilaterale con il quale la Società attribuisce specifici poteri di rappresentanza; tale atto legittima il destinatario ad agire nei confronti di soggetti terzi.
I principi ispiratori del sistema di attribuzione dei poteri e deleghe sono di seguito sinteticamente riportati:
- separazione dei compiti fra coloro che svolgono fasi cruciali nell’ambito di un processo, avendo particolare riguardo alle c.d. aree “a rischio reato”;
- coerenza dei poteri esercitabili (a firma congiunta o a firma singola) con le responsabilità organizzative e gestionali assegnate e comunque circoscritti a ben precise soglie di valore.
Periodicamente si attesta al Consiglio di Amministrazione il rispetto dei poteri assegnati.
2.6 Politiche e procedure operative
La Società ha messo a punto un sistema normativo interno che include policy, linee guida, procedure sia manuali che informatiche, circolari ecc. volto a regolamentare il corretto svolgimento delle aree “a rischio reato” in linea con quanto previsto dal Modello.
Tali documenti si conformano alle seguenti caratteristiche:
- contengono l’indicazione dell’unità organizzativa promotrice della procedura;
- riportano in oggetto l’argomento;
- sono predisposte e/o riviste dall’unità organizzativa competente;
- sono pubblicate nella intranet aziendale e/o opportunamente comunicate.
Le procedure adottate dalla Società costituiscono le regole da seguire nello svolgimento delle attività aziendali, prevedendo anche i controlli da espletare al fine di garantire la correttezza, l’efficacia e l’efficienza delle stesse attività.
In questo contesto, pertanto, nell’espletamento delle attività descritte nei documenti sopra richiamati, è necessario assicurare il rispetto dei seguenti principi:
- favorire il coinvolgimento di più soggetti, onde addivenire ad una adeguata separazione dei compiti mediante la contrapposizione delle funzioni;
- adottare le misure volte a garantire che ogni operazione, transazione, azione sia verificabile, documentata, coerente e congrua;
- prescrivere l’adozione di misure volte a documentare i controlli espletati rispetto alle operazioni e/o alle azioni effettuate.
2.7 Controllo di gestione e dei flussi finanziari
La gestione dei flussi finanziari avviene nel rispetto dei principi di tracciabilità e di documentazione delle operazioni effettuate nonché di coerenza con i poteri e le responsabilità assegnate.
Il sistema di controllo di gestione della Società prevede meccanismi di verifica della gestione delle risorse che devono garantire, oltre alla verificabilità e tracciabilità delle spese, l’efficienza e l’economicità delle attività della Società, mirando ai seguenti obiettivi:
- definire in maniera chiara, sistematica e conoscibile le risorse - monetarie e non - a disposizione delle singole funzioni ed unità organizzative e il perimetro nell’ambito del quale tali risorse possono essere impiegate, attraverso la programmazione e la definizione del budget;
- rilevare gli eventuali scostamenti rispetto a quanto predefinito in sede di pianificazione, analizzarne le cause e riferire i risultati delle valutazioni agli appropriati livelli gerarchici per gli opportuni interventi di adeguamento, attraverso la relativa consuntivazione;
- individuare tempestivamente, attraverso attività di monitoraggio, eventuali anomalie di processo, al fine di effettuare gli opportuni approfondimenti e porre in essere le azioni correttive eventualmente opportune.
2.8 Sistema informativo
La Società, anche in ottemperanza al sistema normativo e regolamentare in cui opera, ha definito dei sistemi informativi relativi a informazioni contabili e gestionali che garantiscono adeguati processi decisionali e consentano di definire e valutare se siano stati raggiunti gli obiettivi strategici definiti dall’Organo Amministrativo in modo da sottoporli ad eventuale
revisione. A tal fine, la Società ha predisposto un apposito sistema di reportistica che consente all’Organo Amministrativo di avere una conoscenza completa dei fatti aziendali rilevanti.
Inoltre, il sistema dei controlli interni definito dalla Società garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza così definiti:
a) accuratezza: le informazioni sono verificate al momento della ricezione e anteriormente rispetto al loro uso;
b) completezza: le informazioni coprono tutti gli aspetti rilevanti dell’impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell’attività;
c) tempestività: le informazioni sono puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all’impresa di prevedere e reagire con prontezza agli eventi futuri;
d) coerenza: le informazioni sono registrate secondo metodologie che le rendano confrontabili;
e) trasparenza: le informazioni sono presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali;
f) pertinenza: le informazioni utilizzate sono in relazione diretta con la finalità per cui vengono richieste e sono continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell’impresa.
Le informazioni dirette a terzi, quali l’Autorità di Xxxxxxxxx, gli assicurati, il mercato, sono attendibili, tempestive, pertinenti e sono comunicate in maniera chiara ed efficace.
Il sistema delle rilevazioni contabili e gestionali interne rappresentano i fatti di gestione e forniscono una rappresentazione corretta e veritiera della situazione patrimoniale, finanziaria ed economica dell’impresa e in conformità con le leggi e la normativa secondaria.
Il sistema informativo definito dalla Società e relativo anche al sistema informatico utilizzato nonché ai flussi e ai collegamenti previsti tra i Comitati, le Funzioni di controllo e in generale tra le Funzioni/unità organizzative della Società favorisce, tra l’altro, le segnalazioni di criticità anche attraverso la previsione di modalità che consentano al personale di portare direttamente all’attenzione dei livelli gerarchici più elevati le situazioni di particolare gravità (si veda anche il successivo paragrafo).
Per quanto riguarda il sistema informativo relativo ai flussi informativi da/verso l’Organismo di Vigilanza (incluse eventuali segnalazioni) e al sistema di reporting dello stesso verso gli Organi Sociali, si rimanda al paragrafo successivo “Sistema delle segnalazioni” e alla sezione apposita del presente documento relativa all’Organismo di Vigilanza.
2.9 Sistema delle segnalazioni
Con il Decreto Legislativo del 10 marzo 2023, n. 24, l’Italia ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio in tema di protezione delle persone che segnalano violazioni del Diritto dell’Unione e violazioni delle disposizioni normative nazionali.
La disciplina comunitaria è volta ad armonizzare le singole legislazioni nazionali in tema di whistleblowing, attraverso l’introduzione di un’adeguata tutela dei soggetti che, all’interno di imprese del settore sia pubblico che privato, intendano segnalare illeciti di varia natura, di cui siano venuti a conoscenza nell’ambito della propria attività lavorativa.
Con riferimento all’ambito di applicazione oggettivo, la nuova normativa ha ampliato il novero delle condotte ritenute meritevoli di segnalazione, estendendo, in conformità a quanto specificamente previsto dalla Direttiva (UE) 2019/1937, la disciplina prevista dal Decreto anche alle violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità della Pubblica Amministrazione o dell’ente privato, ivi inclusi gli illeciti amministrativi, contabili, civili o penali e – in continuità con il passato – “le condotte illecite rilevanti ai sensi del Decreto legislativo 8 giugno 2001, n. 231 o violazioni dei modelli di organizzazione e di gestione”.
Il D. Lgs. 24/2023 ha, poi, ampliato l’ambito di applicazione soggettivo della disciplina in materia di segnalazioni (c.d. whistleblowing), estendendo la tutela in precedenza prevista per i soli dipendenti anche ai collaboratori autonomi, ai liberi professionisti, ai volontari, agli azionisti e agli amministratori.
Viene, inoltre, prevista una specifica disciplina per i Modelli di organizzazione e gestione di cui all’art. 6, comma 1 lett. a) D.Lgs. 231/2001 che dovranno prevedere i canali di segnalazione interna espressamente previsti dal D. Lgs. 24/2023.
A tal proposito, la nuova normativa prevede che la segnalazione può essere effettuata sia in forma scritta, anche con modalità informatiche, che in forma orale; la gestione della segnalazione è affidata ad una persona o ad un ufficio interno autonomo dedicato e con personale specificamente formato o, in alternativa, ad un soggetto esterno, anch’esso autonomo e con personale specificamente formato.
Successivamente all’inoltro della segnalazione da parte del whistleblower l’ente è tenuto a rilasciare allo stesso un avviso di ricevimento entro sette giorni dalla trasmissione della segnalazione. Il soggetto al quale è affidata la gestione del canale deve poi mantenere le interlocuzioni con il segnalante, dando diligente seguito alla segnalazione e fornendo riscontro al whistleblower entro tre mesi dalla data di ricezione della stessa.
La persona segnalante può, inoltre, effettuare una segnalazione esterna sia nel caso in cui abbia già eseguito una segnalazione e la stessa non abbia avuto seguito, sia nell’ipotesi in cui abbia fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non verrebbe dato efficace seguito ovvero potrebbe determinare il rischio di ritorsione.
Il Decreto ha, inoltre, introdotto ulteriori modalità attraverso cui il whistleblower può
segnalare gli illeciti di cui sia venuto a conoscenza: è stato, infatti, istituito un canale di segnalazione esterna, cui si aggiunge, come extrema ratio, lo strumento della divulgazione pubblica, predisposto e gestito dall’Autorità Nazionale Anticorruzione (ANAC).
La disciplina introdotta dal D.lgs. 24/2023, inoltre, si incentra in maniera specifica sulla tutela della riservatezza del segnalante, attraverso la predisposizione di diverse garanzie contro eventuali atti ritorsivi derivanti dalla segnalazione effettuata.
L’identità della persona del whistleblower, in particolare, non potrà essere rivelata, se non con l’espresso consenso del segnalante stesso, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.
In particolare, si evidenzia che le Segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse.
Fatti salvi gli obblighi di legge, l’identità del Segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso dello stesso, a persone diverse da quelle competenti a ricevere o a dare seguito alle Segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli artt. 29 e 32, par. 4, del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati – GDPR) e dell’art. 2 - quaterdecies del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
L’identità del Segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità possono essere rivelate solo previo consenso espresso dello stesso:
- nell’ambito del procedimento disciplinare, qualora la contestazione sia fondata, in tutto o in parte, sulla Segnalazione e la conoscenza dell’identità del Segnalante sia indispensabile per la difesa dell’incolpato;
- nell’ambito del procedimento instaurato in seguito a Segnalazioni interne o esterne, se la rivelazione dell’identità del Segnalante o di qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità è indispensabile anche ai fini della difesa della Persona coinvolta.
Sempre in tema di tutela del segnalante, il D.lgs. 24/2023, oltre a confermare le garanzie contro atteggiamenti ritorsivi o discriminatori posti in essere nei confronti del segnalante, introduce un’ulteriore forma di tutela per il whistleblower in sede processuale. Il segnalante non può essere sanzionato, demansionato o licenziato in ragione della segnalazione effettuata.
In particolare, la novellata disciplina dispone, in capo al soggetto che avrebbe posto in essere le condotte ritorsive, un’inversione dell’onere probatorio, imponendogli di dimostrare che le stesse siano state poste in essere per ragioni estranee alla segnalazione, alla divulgazione o alla denuncia.
Oltre ai profili di responsabilità in cui può incorrere il soggetto segnalato, la normativa
prevede un regime sanzionatorio specifico, applicabile ogni qual volta vengano riscontrate violazioni delle disposizioni del Decreto. Ed infatti, l’ANAC può infliggere al responsabile sanzioni amministrative pecuniarie.
L’art. 13 del D.Lgs. 24/2023, evidenzia, tra le altre cose, che il trattamento di dati personali relativi al ricevimento e alla gestione delle segnalazioni è svolto dagli enti destinatari della normativa in qualità di “Titolari dei dati” medesimi. Anche in ambito whistleblowing si applicano, pertanto, le garanzie previste dal regolamento UE 2016/679.
L’implementazione della Policy Whistleblowing da parte di CNP Vita Assicura S.p.a.
La Società, al fine di garantire una gestione responsabile ed in linea con le prescrizioni legislative al tempo in vigore, nel mese di giugno 2022 ha implementato un sistema di segnalazione c.d. Whistleblowing e ha specificamente adottato e approvato la “Politica per la segnalazione delle violazioni” che dettaglia gli elementi principali ed il processo di trasmissione, ricezione, analisi e gestione delle segnalazioni di violazioni, ivi compresa l’archiviazione e la successiva cancellazione delle stesse. Tale politica è stata successivamente oggetto di specifico aggiornamento nel mese di giugno e dicembre 2023, al fine del completo recepimento delle indicazioni presenti nelle Linee Guida pubblicate da ANAC in data 12 luglio 2023.
In particolare la Compagnia ha messo a disposizione di tutti i Destinatari adeguati canali di comunicazione interni ed ha illustrato i canali esterni disponibili, che consentono di procedere alle segnalazioni sia in forma scritta che in forma orale.
La Compagnia ha messo a disposizione di tutti i Destinatari i seguenti canali interni:
- in forma scritta: avendo adottato il sistema di segnalazione centralizzato, implementato con modalità informatiche dalla Group Compliance Function di CNP Assurances, attraverso dedicata piattaforma online accessibile con il link xxxxx://xxx.xxxxxxxxxxxxx.xxx/;
- in forma orale: avendo adottato un sistema locale di messaggistica vocale accessibile con il link xxxxx://XXXXxxxXxxxxxxx.xxxxxxxxxxxxx.xxx/.
Relativamente al canale di comunicazione in forma scritta, la Group Compliance Function di CNP Assurances riveste la qualifica di contitolare del trattamento ai sensi dell’art. 26 GDPR.
Entrambi i canali garantiscono, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità del segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della eventuale relativa documentazione.
Responsabile della gestione delle Segnalazioni è l’Organismo di Vigilanza, supportato
operativamente dal Titolare della Funzione Internal Audit.
Il Titolare della Funzione Internal Audit della Compagnia ha l’incarico di registrare tutte le segnalazioni, indipendentemente dalla modalità di comunicazione utilizzata, in apposito registro locale (c.d. Registro Whistleblowing) conservato nei dischi di rete di esclusiva competenza della Funzione Internal Audit. Il Registro Whistleblowing costituisce il repository ufficiale dei dati essenziali delle Segnalazioni ai fini della loro gestione e dell’archiviazione di tutta la documentazione collegata, nonché di quella prodotta o acquisita nel corso delle attività di analisi. L’accesso alle informazioni presenti nel Registro Whistleblowing è limitato ai membri dell’OdV ed al Responsabile della Funzione Internal Audit.
L’OdV, supportato dal Titolare della Funzione Internal Audit, analizza e classifica le Segnalazioni e comunica al Segnalante:
- entro 7 giorni dalla data di ricezione della Segnalazione, avviso di ricevimento della stessa;
- entro 3 mesi dall’avviso di ricevimento della Segnalazione, un riscontro con informazioni sul seguito che viene dato o si intende dare alla Segnalazione, specificando se la Segnalazione rientra o meno nell’ambito di applicazione del D.Lgs. n. 24/2023.
L’OdV, supportato dal Responsabile della Funzione Internal Audit, svolge l’istruttoria sulle Segnalazioni ricevute giudicate sufficientemente circostanziate. Al fine di acquisire evidenze ed ulteriori informazioni, l’OdV ha facoltà di:
- richiedere al Responsabile della Funzione Internal Audit di attivare una dedicata verifica sui fatti segnalati;
- svolgere, anche direttamente, approfondimenti tramite, ad esempio, formale convocazione e audizioni del Segnalante, del Segnalato e/o delle Persone coinvolte nella Segnalazione e/o comunque informate sui fatti, nonché richiedere ai predetti soggetti la produzione di relazioni informative e/o documenti;
- avvalersi, di volta in volta, del supporto interno e/o esterno al fine di svolgere gli approfondimenti necessari, mantenendo l’anonimato del Segnalante, del Segnalato e/o delle Persone coinvolte nella Segnalazione e/o comunque informate sui fatti.
Al termine dell’attività istruttoria, l’OdV delibera la chiusura della Segnalazione evidenziando l’eventuale inosservanza di norme/procedure, fatte salve le esclusive prerogative e competenze della Funzione Risorse Umane riguardo all’esercizio di azioni disciplinari. Dell’esito dell’istruttoria è data comunicazione al Segnalante nelle forme e nei termini sopra richiamati.
Qualora dalle analisi sulle aree e sui processi aziendali esaminati emergesse la necessità di adottare azioni di rimedio, è compito dei Responsabili delle aree/processi oggetto di verifica definire un piano di azione per la rimozione delle criticità rilevate e di garantirne l’implementazione entro le tempistiche definite, dandone comunicazione all’OdV ed alla
Funzione Internal Audit che cura il monitoraggio sullo stato di attuazione del piano di rimedio.
L’OdV monitora l’avanzamento del piano di rimedio attraverso l’informativa periodica fornita dalla Funzione Internal Audit.
2.10 Programma di sensibilizzazione e formazione del Modello
Al fine di dare efficace attuazione al Modello adottato, lo stesso è comunicato ai dipendenti e a tutti i Destinatari come in precedenza descritti.
Gli strumenti adottati per effettuare una comunicazione efficace sono i seguenti:
- i contenuti ed i principi del Modello che essi sono tenuti a conoscere sono opportunamente portati a conoscenza dei Dipendenti anche tramite percorsi formativi, in relazione al ruolo ed alle responsabilità rivestite;
- la Parte Generale del Modello è disponibile sul sito internet delle Società ed è inviata ai Terzi. In questo caso i contratti e le lettere di incarico prevedono apposite clausole volte ad assicurare il rispetto del Modello e/o delle procedure da parte dei Terzi, che parimenti prevengono il compimento dei reati di cui al Decreto.
L’attività di comunicazione e formazione sul Modello, diversamente caratterizzata e calibrata ai Destinatari cui si rivolge, è ricorrente ad ogni aggiornamento, in modo da favorire un’adeguata conoscenza e il rispetto dello stesso Modello da parte dei Destinatari.
In particolare, le attività formative sono declinate in:
- formazione di base a tutti i dipendenti;
- formazione specifica verso i soggetti esposti ad attività sensibili/strumentali;
- formazione specifica ai Soggetti Apicali;
- formazione di Amministratori e Sindaci.
Relativamente alle attività formative degli Amministratori, gli stessi procedono con un processo di autovalutazione che prevede, tra l’altro, la valutazione delle attività formative svolte nonché la relativa rendicontazione.
In aggiunta, si conferma che la Compagnia, nel rispetto della normativa applicabile, verifica nel continuo l’adeguatezza della formazione e l’aggiornamento professionale effettuati dalle reti distributive di cui si avvalgono, nonché l’osservanza delle regole generali di comportamento, predisponendo opportuni report annuali che vengono quindi sottoposti al Consiglio di Amministrazione.
I Dipendenti e tutti gli altri Destinatari possono sempre contattare l’Organismo di Vigilanza per eventuali chiarimenti sui comportamenti da adottare al fine di rispettare i principi enunciati nel Modello. A tal fine può essere utilizzato il seguente indirizzo per le segnalazioni: xxxxxxxxxxxxxxx@xxxxxxxxx.xx e/o, in alternativa, possono essere inviate comunicazioni al Presidente dell’Organismo di Vigilanza della Società.
2.11 Il sistema disciplinare e sanzionatorio a fronte di violazioni del Modello
Il Decreto richiede che il Modello introduca un sistema disciplinare e sanzionatorio idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello stesso.
Il sistema disciplinare, qui descritto, previsto nei confronti dei Dipendenti viene costantemente monitorato dalle risorse umane.
Si specifica che l’applicazione delle sanzioni disciplinari è correlata al mancato rispetto delle misure definite nel Modello e prescinde dall’instaurazione o dall’esito di un eventuale procedimento penale instaurato contro chi abbia tenuto un comportamento contrario le previsioni del Modello.
Il sistema sanzionatorio si ispira al principio di proporzionalità tra la violazione e la sanzione da irrogare.
Il Modello prevede delle misure sanzionatorie anche nei confronti dei soggetti, non Dipendenti, che collaborano con la Società.
Si sottolinea che i Dipendenti che operano in regime di distacco, anche parziale, da altre società devono attenersi ai disposti del Modello della Società per la quale prestano la propria attività lavorativa, oltre che di quello adottato dalla Società di appartenenza.
2.11.1 Accertamento della violazione
Per quanto riguarda i Dipendenti:
- l’accertamento del mancato rispetto delle prescrizioni del Modello,
- lo svolgimento delle procedure disciplinari,
- l’irrogazione delle sanzioni da parte della Funzione Risorse umane,
- si fa riferimento ai poteri formalmente conferiti, nei limiti delle rispettive competenze.
L’Organismo di Vigilanza, nell’accertamento delle violazioni del Modello, provvede a coinvolgere le Risorse Umane per la valutazione delle sanzioni previste.
L’Organismo di Vigilanza è tenuto a fornire il proprio parere in ordine all’eventuale archiviazione del procedimento disciplinare o all’applicazione della sanzione.
È compito dell’Organismo di Vigilanza informare l’Organo Amministrativo della Società, e l’Internal Audit delle procedure di accertamento avviate e del loro esito.
Nei confronti dei Dipendenti che si rendano responsabili di violazioni alle prescrizioni fissate nel Modello relativamente alle procedure interne ed al comportamento che gli stessi sono tenuti a seguire nell’espletamento delle rispettive mansioni, verranno applicate, nel rispetto dell’art. 7 della L. 30 maggio 1970 n. 300 (Statuto dei Lavoratori) s.m.i. e delle normative
speciali eventualmente applicabili, le sanzioni previste dal Codice Civile e dai vigenti contratti collettivi nazionali del lavoro di settore (sia per i Dipendenti non dirigenti e sia per i dirigenti).
2.11.2 Misure nei confronti dei Dipendenti non dirigenti
Le sanzioni irrogabili nei confronti dei Dipendenti non dirigenti, conformemente a quanto previsto dallo Statuto dei Lavoratori s.m.i. ed eventuali normative speciali applicabili, sono quelle previste dalle norme del contratto collettivo specificamente dedicate ai provvedimenti disciplinari, e segnatamente:
- rimprovero verbale;
- biasimo inflitto per iscritto;
- sospensione dal servizio e dal trattamento retributivo (per un periodo non superiore a dieci giorni);
per le quali si rimanda completamente al “Regolamento di disciplina” pro-tempore vigente.
Quanto precede tiene conto altresì delle ipotesi di risoluzione del rapporto di lavoro per notevole inadempimento degli obblighi contrattuali da parte del prestatore di lavoro, ai sensi della normativa vigente.
Fermo tutto quanto sopra i comportamenti che nello specifico costituiscono violazione del Modello, e quindi anche del Codice Etico, corredate dalle relative sanzioni, sono i seguenti:
• incorre nel provvedimento di “rimprovero verbale” il lavoratore che violi una delle procedure interne previste dal Modello, o adotti nell’espletamento di attività un comportamento non conforme alle prescrizioni del Modello stesso;
• incorre nel provvedimento di “biasimo inflitto per iscritto” il lavoratore che sia recidivo nel violare le procedure previste dal Modello o nell’adottare, nell’espletamento di attività, un comportamento non conforme alle prescrizioni del Modello;
• incorre nel provvedimento della “sospensione dal servizio e dal trattamento economico per un periodo non superiore a dieci giorni” il lavoratore che nel violare le procedure interne previste dal Modello, o adottando nell’espletamento di attività un comportamento non conforme alle prescrizioni del Modello, arrechi danno, o crei situazioni di potenziale pericolo alla Società, oppure il lavoratore che sia incorso con recidiva nella violazione delle procedure previste dal Modello o nell’adottare, nelle aree “a rischio”, un comportamento non conforme alle prescrizioni del Modello. Tali comportamenti a causa della mancata osservanza delle disposizioni impartite dalla Società, determinano un danno ancorché potenziale ai beni della Società e/o costituiscono atti contrari agli interessi della stessa e/o espongono la Società stessa a rischi di sanzioni amministrativeo interdittive;
• incorre nel provvedimento della “risoluzione del rapporto di lavoro per giustificato motivo soggettivo” il lavoratore che adotti nell'espletamento delle attività un
comportamento non conforme alle prescrizioni del Modello e ne costituisca un notevole inadempimento, diretto in modo non equivoco alla commissione di un reato sanzionato dal Decreto o che determini la concreta applicazione a carico della Società delle relative misure; tale comportamento costituisce una grave inosservanza delle disposizioni impartite dalla Società e/o una grave violazione dell’obbligo del lavoratore di cooperare alla prosperità della Società;
• incorre nel provvedimento della “risoluzione del rapporto di lavoro per giusta causa” il lavoratore che adotti nell'espletamento delle attività un comportamento non conforme alle prescrizioni del Modello e ne costituisca un grave inadempimento, diretto in modo non equivoco al compimento di un reato sanzionato dal Decreto, o che determini la concreta applicazione a carico della Società delle misure previste dal Decreto, nonché il lavoratore che sia incorso con recidiva nel violare le procedure interne previste dal Modello, o che, adottando, nell’espletamento di attività nelle aree “a rischio”, un comportamento non conforme alle prescrizioni del Modello, arrechi danno, o crei situazioni di potenziale pericolo alla Società. Tale comportamento fa venire meno radicalmente la fiducia della Società nei confronti del lavoratore costituendo un grave pregiudizio per l’azienda.
Nella determinazione della sanzione e della sua entità si terrà conto:
- della intenzionalità del comportamento o del grado di negligenza, imprudenza o imperizia in relazione alla prevedibilità dell’evento;
- del comportamento complessivo del lavoratore, nel corso del rapporto di lavoro intercorso, riguardo alla sussistenza o meno di precedenti provvedimenti disciplinari adottati a carico del medesimo;
- delle concrete mansioni espletate dal lavoratore;
- della posizione funzionale delle persone concorrenti nei fatti costituenti la violazione disciplinare contestata;
- di ogni altra particolare circostanza che accompagni la violazione contestata.
2.11.3 Misure nei confronti dei Dipendenti dirigenti
In caso di violazione, da parte di Dipendenti dirigenti, delle singole disposizioni e delle regole comportamentali contenute nel Modello, si applicheranno nei confronti dei responsabili le misure più idonee in conformità a quanto previsto dalle norme di legge, di contratto collettivo nazionale ed, eventualmente, di contratto individuale.
2.11.4 Misure nei confronti dei collaboratori esterni e degli intermediari
Al fine di favorire il rispetto da parte di collaboratori esterni, intermediari e partner commerciali, con cui si abbia una qualunque forma di collaborazione contrattualmente
regolata si provvede ad inserire, nei relativi contratti, clausole standard che impegnino contrattualmente tali soggetti a rispettare il Modello Organizzativo delle Società e a non tenere comportamenti che potrebbero determinare la commissione, anche tentata, dei reati contemplati dal Decreto e ad adottare e attuare, ove necessario, procedure idonee a prevenire dette violazioni.
Resta salva l’eventuale risoluzione del contratto con detti collaboratori esterni e/o intermediari in caso di inadempimento delle predette clausole standard oltre alla richiesta di risarcimento qualora da tale comportamento derivino danni concreti, come nel caso di applicazione alla stessa da parte del giudice delle misure previste dal Decreto.
2.11.5 Misure nei confronti degli Amministratori
Ove da verifiche emergessero violazioni o tentativi di violazione del Modello riconducibili agli Amministratori della Società, l’Organismo di Vigilanza ne darà notizia all’Organo Amministrativo e al Collegio Sindacale, affinché si provveda ad assumere, ciascuno per le proprie rispettive competenze, le iniziative previste dalla vigente normativa.
In ottemperanza a quanto previsto dallo Statuto, potrà essere convocata l’Assemblea degli Azionisti, al fine di adottare le misure più idonee.
2.11.6 Misure nei confronti dei Sindaci
In caso di violazione del presente Modello da parte di uno o più Sindaci, l’Organismo informa l’intero Collegio Sindacale e l’Organo Amministrativo, che prenderanno gli opportuni provvedimenti, ciascuno per le proprie competenze.
2.11.7 Misure nei confronti dei componenti dell’Organismo di Xxxxxxxxx
Si veda quanto previsto al successivo capitolo “3. L’Organismo di Vigilanza”.
3. L’Organismo di Vigilanza
In base alle previsioni dell’art. 6, comma 1, lett. a) e b) del Decreto, l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte dei soggetti qualificati ex art. 5 del Decreto stesso, se l’organo dirigente ha, fra l’altro:
- adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire i reati considerati;
- affidato il compito di vigilare sul funzionamento e l’osservanza del modello adottato e di curarne l’aggiornamento ad un organismo della società dotato di autonomi poteri di iniziativa e controllo.
L’affidamento a tale organismo dei suddetti compiti, unitamente al corretto ed efficace svolgimento degli stessi rappresentano, quindi, presupposti indispensabili per l’esonero dalla responsabilità prevista dal Decreto.
3.1 Caratteristiche dell’Organismo di Vigilanza
L’OdV - i cui membri e Presidente coincidono con quelli del Collegio Sindacale - è nominato dal Consiglio di Amministrazione della Società, il quale, inoltre, ne determina il budget operativo annuale del medesimo.
All’occorrenza, per casi urgenti, imprevisti e gravi, è prevista la possibilità per l’Organismo di Vigilanza di spendere autonomamente, superando anche la soglia del budget, salvo poi giustificare opportunamente dette spese al Consiglio d’Amministrazione e ferma la rendicontazione presentata annualmente al Consiglio di Amministrazione.
Per quanto riguarda, in modo specifico, la calendarizzazione delle riunioni, si prevede che l’Organismo di Vigilanza si riunisca almeno con cadenza trimestrale, ogni qualvolta sia ritenuto opportuno dall’OdV e/o lo richiedano le concrete esigenze connesse allo svolgimento delle proprie attività. È comunque facoltà di ciascun componente dell’OdV chiedere la convocazione di una riunione dell’Organismo stesso.
Il compito di vigilare sul funzionamento, l’aggiornamento e la concreta applicazione del Modello è affidato ad un organismo dotato delle seguenti caratteristiche:
- indipendenza ed autonomia, al fine di garantire l’imparzialità e la possibilità di operare anche quando esso sia chiamato a vigilare sull’applicazione del Modello da parte del vertice aziendale.
A tal proposito, l’OdV della Società è dotato di autonomi poteri di iniziativa e controllo.
L’OdV riporta inoltre direttamente al Consiglio di Amministrazione e allo stesso Organismo non sono attribuiti compiti collegati direttamente o indirettamente alla formazione ed attuazione delle decisioni della Società. Tale soluzione preserva l’autonomia di iniziativa e controllo dell’Organismo di Vigilanza da qualsiasi forma di interferenza o condizionamento. A tal fine, la Società monitora l’assenza di eventuali conflitti di interesse in capo ai componenti dell’Organismo stesso come previsto dalla regolamentazione vigente.
Inoltre, come anticipato, l’OdV è dotato di adeguate risorse finanziarie necessarie per il corretto svolgimento delle proprie attività.
- onorabilità e professionalità, al fine di garantire la dotazione di conoscenze, competenze, strumenti e tecniche che l’Organismo di Vigilanza deve possedere per poter svolgere efficacemente la propria attività.
A tal proposito, qualora ci fosse un componente interno dell’OdV, il medesimo deve possedere specifiche competenze in materia di sistema di controllo interno e preferibilmente di compliance, nonché conoscenze organizzative ed operative inerenti
alla Società mentre i componenti esterni sono selezionati per le specifiche capacità professionali nelle tematiche giuridiche, anche in ambito penalistico, economico e finanziario. Per quanto riguarda l’onorabilità si considerano non solo i requisiti di cui all’art. 2399, che richiama anche l’art. 2382 c.c., ma anche il fatto che, come sostenuto dagli orientamenti giurisprudenziali e dottrinali, i componenti dell’OdV non devono aver subito precedenti condanne o rivestito ruoli come descritto nelle casistiche di cui al successivo paragrafo.
- continuità di azione, al fine di garantire un’adeguata attività di monitoraggio e di aggiornamento del Modello al mutare delle condizioni aziendali e/o normative e/o delle best practices di riferimento.
3.2 Composizione
In ottemperanza, quindi, a quanto stabilito dall’art. 6, comma 1, lett. b) del Decreto, l’Organo Amministrativo della Società ha optato per una composizione che, tenuto conto delle finalità perseguite dalla legge, è in grado di assicurare, in relazione alle proprie dimensioni ed alla propria complessità organizzativa, l’effettività dei controlli cui tale Organismo è preposto e ha identificato il proprio Organismo di Vigilanza in un organismo collegiale, che riferisce all’Organo Amministrativo della Società sul proprio operato.
La scelta di un organismo collegiale è stata da subito privilegiata in considerazione della portata e della complessità delle fattispecie di reato contemplate dal Decreto e che possono comportare la responsabilità amministrativa della Società, nonché dell’attenzione che la Società da sempre riserva alle tematiche di sistema di controllo interno e di compliance.
La scelta operata è ispirata al principio di nominare quali componenti dell’Organismo coloro i quali rispondano appieno alle caratteristiche illustrate al precedente paragrafo e che siano in possesso di competenze e conoscenze che garantiscano il miglior contributo al perseguimento degli obiettivi dell'Organismo di Vigilanza stesso.
L’Organismo di Vigilanza della Società è nominato con delibera del Consiglio di Amministrazione ed è composto da un minimo di tre componenti ad un massimo di cinque componenti che, collegialmente, soddisfano le caratteristiche di cui al precedente paragrafo. L’Organismo di Vigilanza può coincidere con il Collegio Sindacale, in tal caso non ci sarà necessità di nominare un referente aziendale interno.
Nel caso in cui i componenti siano nel numero di quattro, al Presidente viene riconosciuto il
casting vote.
Nel caso in cui nel corso dell’incarico vengano a mancare uno o più componenti, si procede a darne immediata informativa al Consiglio di Amministrazione e si applicano le seguenti previsioni:
1) vacatio di un componente. Il Consiglio intraprende tutte le azioni volte a sostituire il componente al fine di consentire all’Organismo di Vigilanza nella sua collegialità di soddisfare le caratteristiche di cui al precedente paragrafo. Nel frattempo i restanti
componenti continuano ad operare in virtù di un casting vote a favore del Presidente dell’OdV. Nel caso in cui la vacatio riguardi il Presidente, viene ad interim nominato quale Presidente il componente esterno più anziano ancora in carica;
2) vacatio di due componenti (non costituenti maggioranza dell’Organismo di Xxxxxxxxx). Il Consiglio intraprende tempestivamente tutte le azioni volte a sostituire i componenti al fine di consentire all’Organismo di Vigilanza nella sua collegialità di soddisfare le caratteristiche di cui al precedente paragrafo. Se almeno un nuovo componente non viene identificato entro tre mesi, l’Organismo di Vigilanza decade e si seguono le prescrizioni di cui al successivo punto. Se il secondo componente viene effettivamente sostituito entro i tre mesi, viene ad interim nominato quale Presidente il componente esterno più anziano dei due in carica fino alla nomina del terzo componente. Una volta nominati i tre componenti il Consiglio di Amministrazione identificherà con specifica nomina il Presidente;
3) vacatio della maggioranza dei componenti dell’Organismo di Vigilanza. Viene convocato un Consiglio di Amministrazione d’urgenza che intraprende tutte le azioni necessarie per nominare un nuovo Organismo di Vigilanza che collegialmente soddisfi le caratteristiche di cui al precedente paragrafo.
Nei casi previsti ai nn. 1) e 2), i nuovi componenti dell’Organismo di Xxxxxxxxx restano in carica sino alla scadenza del mandato dei componenti originari.
3.3 Durata, nomina, revoca e cessazione
La durata dell’incarico è di tre esercizi scadendo con l’approvazione del progetto di bilancio dell’ultimo esercizio.
La nomina di ogni componente dell’Organismo di Vigilanza è attribuita all’Organo Amministrativo della Società, il quale nomina gli stessi sulla base delle caratteristiche di cui al precedente paragrafo.
È facoltà dell’Organismo di nominare un Segretario, scegliendolo anche al di fuori dei suoi componenti.
La nomina quale componente dell’Organismo di Vigilanza è condizionata alla presenza dei requisiti soggettivi di eleggibilità. L’Organo Amministrativo della Società, in sede di nomina, deve dare atto della sussistenza dei requisiti di indipendenza, autonomia, onorabilità e professionalità dei componenti dell’Organismo di Vigilanza.
I componenti dell’Organismo devono essere in possesso dei “requisiti soggettivi” di seguito illustrati. Gli stessi attestano, facendone apposita dichiarazione all’atto della nomina e annualmente, l’assenza di cause di “incompatibilità”. I requisiti soggettivi sono costituiti da:
- non essere componenti dell’Organo Amministrativo della Società (salvo che si tratti di amministratori non esecutivi o non esecutivi indipendenti, come individuati dall’art. 2387 cod. civ. e dallo Statuto della Società) o direttori generali della Società;
- non prestare o non aver prestato negli ultimi tre anni la propria attività lavorativa per conto del revisore legale dei conti della Società;
- non avere relazioni di coniugio, parentela o affinità entro il 4° grado incluso con componenti del Consiglio di Amministrazione nonché con i medesimi componenti delle società controllanti e/o eventualmente controllate o dei direttori generali;
- non essere portatori di conflitti di interesse tali da pregiudicare la loro indipendenza;
- non avere svolto, almeno nei tre esercizi precedenti all’attribuzione dell’incarico di componente dell’OdV:
- funzioni di amministrazione, direzione o controllo in imprese sottoposte a fallimento, liquidazione coatta amministrativa o procedure equiparate;
- funzioni di amministrazione, direzione o controllo in imprese operanti nel settore creditizio, finanziario, mobiliare e assicurativo sottoposte a procedura di amministrazione straordinaria;
L’impedimento di cui ai punti che precedono non opera nel caso in cui il Consiglio di Amministrazione valuti l’estraneità dell’interessato ai fatti che hanno determinato la crisi dell’impresa.
- non aver ricevuto sentenza di condanna, anche non passata in giudicato, oppure sentenza di applicazione della pena su richiesta (il c.d. patteggiamento), in Italia o all’estero, per i reati richiamati dal D. Lgs. n. 231/2001 od altri reati comunque incidenti sulla moralità professionale, incluso il caso in cui sia stato concesso il beneficio della sospensione condizionale della pena; oppure non essere stati sottoposti a misure di prevenzione disposte dall’Autorità Giudiziaria ai sensi della legge 27 dicembre 1956, n. 1423, o della legge 31 maggio 1965, n. 575, salvi gli effetti della riabilitazione o in caso di estinzione delreato;
- non aver ricevuto condanna, con sentenza, anche non passata in giudicato, a una pena che importa l’interdizione, anche temporanea, dai pubblici uffici, o l’interdizione temporanea dagli uffici direttivi delle persone giuridiche e delle imprese, incluso il caso in cui sia stato concesso il beneficio della sospensione condizionale della pena.
Nel caso di perdita dei “requisiti soggettivi” previsti nel Modello, i componenti dell’Organismo devono informare tempestivamente l’Organismo di Vigilanza e il Consiglio d’Amministrazione della Società al fine di procedere alla sostituzione secondo quanto precedentemente illustrato.
Inoltre, chiunque venga a conoscenza della perdita dei “requisiti soggettivi” previsti per i componenti dell’Organismo di Vigilanza è tenuto ad informare il Consiglio d’Amministrazione della Società al fine di procedere alla sostituzione secondo quanto precedentemente illustrato.
I componenti dell’Organismo di Vigilanza sono revocati con effetto immediato dal Consiglio
d’Amministrazione della Società in caso di perdita dei requisiti soggettivi sopra elencati. Salvo tali ipotesi, i componenti dell’Organismo di Vigilanza possono essere revocati solamente per “giusta causa”. In tali casi di revoca, l’Organo Amministrativo della Società provvede tempestivamente alla sostituzione del componente revocato secondo quanto precedentemente illustrato.
Per “giusta causa” di revoca si intende, anche se in via non esaustiva, una delle seguenti casistiche:
• una grave negligenza nell’espletamento dei compiti connessi all’incarico, ivi compresa la violazione degli obblighi di riservatezza;
• la condanna, anche con sentenza non passata in giudicato, della Società per uno dei reati previsti dal Decreto a seguito di un procedimento penale dal quale emerga un’omessa o insufficiente attività di vigilanza;
• essere titolare, direttamente o indirettamente, di partecipazioni azionarie della Società, tali da permettere di esercitare il controllo o un’influenza notevole, o tali da compromettere l’indipendenza;
• l’assenza ingiustificata, durante l’esercizio, a due adunanze consecutive dell’Organismo di Vigilanza.
Per quanto attiene alle cause di cessazione dell’incarico, occorre distinguere tra quelle che riguardano l’intero OdV e quelle relative ai singoli componenti.
La cessazione dell’incarico che coinvolge l’intero OdV può avvenire per una delle seguenti cause:
• scadenza dell’incarico;
• rinuncia della maggioranza dei componenti dell’Organismo, formalizzata mediante apposita comunicazione scritta inviata al Consiglio di Amministrazione.
La cessazione dell’incarico di un singolo componente, invece, può avvenire:
• per effetto della cessazione della carica o del ruolo aziendale ricoperti;
• a seguito di rinuncia all’incarico, formalizzata mediante apposita comunicazione scritta inviata al Presidente del Consiglio di Amministrazione ed all’Organismo di Vigilanza;
• qualora sopraggiunga una delle cause di decadenza e/o incompatibilità sopra descritte;
• a seguito di revoca per giusta causa da parte del Consiglio di Amministrazione.
3.4 Funzioni e poteri
L’Organismo ha i seguenti compiti e poteri:
- vigilare sul funzionamento del Modello;
- valutare l’effettiva adeguatezza del Modello a prevenire la commissione degli illeciti sanzionati ai sensi del Decreto;
- promuovere, in collaborazione con le unità organizzative interessate, l’aggiornamento del Modello anche in relazione alle modifiche normative, agli orientamenti giurisprudenziali e
dai mutamenti organizzativi;
- elaborare un programma di verifica, in coerenza con i principi contenuti nel Modello, assicurandone l’attuazione;
- vigilare sull’osservanza del Modello da parte dei Dipendenti, degli organi sociali e, nei limiti delle attività svolte, degli intermediari, dei fornitori e dei consulenti e/o in generale dei Destinatari del Modello;
- mantenere i rapporti e assicurare flussi informativi verso l’Organo Amministrativo della Società e garantendo un adeguato collegamento con il revisore legale dei conti, nonché con organi e funzioni di controllo;
- richiedere e acquisire informazioni e documentazione di ogni tipo da e verso ogni unità organizzativa, compiendo verifiche ed ispezioni al fine di accertare eventuali violazioni delModello;
- assicurare l’elaborazione della reportistica propria dell’OdV sulle risultanze degli interventi effettuati;
- promuovere le iniziative per la diffusione della conoscenza e della comprensione del Modello, nonché della formazione dei Dipendenti e della sensibilizzazione degli stessi all’osservanza dei principi contenuti nel Modello;
- promuovere e sollecitare alle competenti Funzioni un efficace sistema di comunicazione interna per consentire la trasmissione e raccolta di notizie rilevanti ai fini del D. Lgs. n. 231/2001, garantendo la tutela e riservatezza del segnalante;
- formulare, laddove necessario, previsioni di spesa per lo svolgimento della propria attività;
- esaminare e valutare le informazioni e/o le segnalazioni ricevute e connesse al rispetto del Modello, incluso per ciò che attiene le eventuali violazioni dello stesso;
- verificare e valutare l’idoneità del sistema disciplinare e sanzionatorio;
- promuovere, in caso di accertata violazione del Modello, l’avvio di eventuali procedimenti disciplinari, supportando, altresì, la funzione competente anche in ordine alla valutazione circa l’adozione di eventuali sanzioni o provvedimenti;
- fornire il necessario supporto informativo agli organi od autorità ispettive che ne facciano richiesta.
A tal proposito, si evidenzia che le attività poste in essere dall’OdV non possono essere sindacate da alcun altro organismo o struttura aziendale, fermo restando che l’Organo Amministrativo della Società vigila sull’adeguatezza del suo intervento, poiché ad esso compete la responsabilità ultima del funzionamento (e dell’efficacia) del Modello della Società.
3.5 Modalità di interazione con le altre funzioni aziendali
L’Organismo di Xxxxxxxxx può avvalersi, sotto la sua diretta sorveglianza e responsabilità,
dell’ausilio di tutte le strutture della Società, ovvero di consulenti esterni. In particolare, si avvale della collaborazione delle seguenti funzioni:
- Internal Audit, Risk Management e Compliance al fine di ottenere i dovuti aggiornamenti in merito alle attività sulle quali l’Organismo di Vigilanza ha valutato l’opportunità di porre reliance come da pianificazione annuale, nonché, per ricevere i flussi informativi attinenti diverse tematiche, quali, ad esempio, procedimenti, provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, contatti con l’Autorità di Vigilanza, ecc.;
- Antiriciclaggio, per le attività di identificazione, valutazione e controllo dei rischi di commissione degli illeciti sanzionati ai sensi del D.Lgs. n. 231/2007;
- di altre unità organizzative/responsabili, quali, a mero titolo esemplificativo:
▪ Ufficio Legale e Societario17 (in ordine, ad esempio, ai flussi informativi attinenti agli organi sociali, sistema di deleghe e poteri, ecc.);
▪ Risorse Umane18 (in ordine, ad esempio, alla formazione del personale e ai procedimenti disciplinari);
▪ Finance 19 (in ordine, ad esempio, al controllo dei flussi finanziari);
▪ di opportuni supporti esterni, secondo le valutazioni e le esigenze del caso.
È previsto, inoltre, per il corretto e completo espletamento delle attività di vigilanza, un coordinamento puntuale dell’Organismo di Vigilanza con le Direzioni aziendali.
Affinché l’Organismo di Vigilanza possa avere la massima efficacia operativa deve essere garantito l’accesso senza restrizioni a tutte le informazioni aziendali che lo stesso reputi rilevanti alla sua attività e, più in generale, a tutte le informazioni aziendali.
3.6 Flussi informativi verso l’Organismo di Vigilanza
Oltre alle citate segnalazioni relative a sospette/accertate violazioni del Modello sopra descritte, le funzioni aziendali e i collaboratori interni ed esterni devono trasmettere all’Organismo di Xxxxxxxxx, ciascuno per le proprie competenze e conoscenze, le informazioni, di cui sono a conoscenza e concernenti:
- le risultanze periodiche dell’attività di controllo poste in essere per dare attuazione al Modello (quali, ad esempio, report riepilogativi dell’attività svolta, attività di monitoraggio, ecc.);
- le violazioni, anche potenziali, del Modello e, quindi, anche del Codice Etico, inclusi, senza che ciò costituisca limitazione:
• i provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati contemplati dal Decreto, e che possano coinvolgere la Società, i suoi
17 Funzione istituita presso Cnp Vita S.c.a.r.l. che fornisce servizi per le Compagnie assicurative. 18 Funzione istituita presso Cnp Vita S.c.a.r.l. che fornisce servizi per le Compagnie assicurative. 19 Funzione istituita presso Cnp Vita S.c.a.r.l. che fornisce servizi per le Compagnie assicurative.
Dipendenti, i componenti degli organi sociali e/o di altri Destinatari;
• le notizie relative a procedimenti giudiziari in relazione ai reati di cui al Decreto, salvo espresso divieto dell’autorità giudiziaria;
• le notizie relative ai procedimenti disciplinari in atto e/o svolti ed alle eventuali sanzioni da irrogare e/o irrogate, in relazione alle fattispecie previste dal Decreto, o relative ai provvedimenti di archiviazione dei suddetti procedimenti con le rispettive motivazioni;
• l’avvio di ogni attività ispettiva giudiziaria, tributaria, amministrativa e di Autorità di Vigilanza;
• eventuali omissioni o falsificazioni nella tenuta della contabilità o nella conservazione della documentazione su cui si fondano le registrazioni contabili;
• eventuali segnalazioni, concernenti carenze o inadeguatezze del sistema di controllo interno, per le quali le funzioni di controllo competenti non si sono attivate;
- le attività della Società, che possono assumere rilevanza quanto all’espletamento da parte dell’OdV dei compiti ad esso assegnati, quali, a titolo esemplificativo e non esaustivo:
• le notizie relative alle variazioni organizzative e procedurali significative ai fini del Modello;
• gli aggiornamenti del sistema dei poteri e deleghe;
• l’informativa periodica sullo stato di predisposizione e aggiornamento su procedure e/o aspetti concernenti il Modello;
• le eventuali comunicazioni del revisore legale dei conti riguardanti aspetti che possono indicare una carenza dei controlli interni;
• la reportistica periodica in materia di salute e sicurezza sul lavoro, e segnatamente il verbale della riunione periodica di cui all’art. 35 del Testo Unico in materia di salute e sicurezza sul lavoro, nonché tutti i dati relativi agli infortuni sul lavoro occorsi nei siti della Società; gli eventuali aggiornamenti del Documento Valutazione Rischi; la segnalazione, da parte del medico competente, delle situazioni anomale riscontrate nell’ambito delle visite periodiche o programmate;
• le comunicazioni, da parte del Collegio Sindacale e dei Comitati di controllo relative ad ogni criticità emersa, anche se risolta;
• eventuali scostamenti dal budget o anomalie di spesa emersi nella fase di consuntivazione;
Relativamente alle tematiche di conflitti di interesse, di ospitalità e omaggi, come previsto dalle procedure aziendali, sono regolarmente aggiornati i relativi registri e istituiti appositi flussi informativi nei confronti dell’OdV.
3.7 Flussi informativi dall’Organismo di Vigilanza
L’Organismo di Xxxxxxxxx predispone almeno una volta all’anno e comunque entro la data di approvazione del progetto di Bilancio dell’esercizio precedente, una relazione per l’Organo Amministrativo sulle attività svolte, sulle eventuali segnalazioni pervenute, su ogni eventuale carenza o violazione riscontrata, nonché sul piano delle verifiche e sul suo stato di completamento. In aggiunta, l’Organismo di Xxxxxxxxx riferisce tempestivamente in merito aspetti critici riscontrati e/o necessità di interventi modificativi del Modello in considerazione di cambiamenti organizzativi significativi, normativi o di best practices.
È facoltà dell’Organo Amministrativo o del Collegio Sindacale convocare l’OdV per ottenere aggiornamenti in merito al funzionamento del Modello o in relazione a situazioni specifiche.
Infine, l’Organismo di Vigilanza, indipendentemente dai flussi periodici, può richiedere di essere ascoltato dal Consiglio di Amministrazione o dal Collegio Sindacale in relazione al verificarsi di situazioni straordinarie o che richiedano interventi urgenti (ad esempio violazionidi aspetti rilevanti del Modello, ecc.).
3.8 Raccolta e Conservazione delle informazioni
L’Organismo di Vigilanza è tenuto a conservare in un apposito archivio (informatico o cartaceo) ogni informazione, segnalazione, report, relazione previsti nel Modello.
4. Aggiornamento e adeguamento del Modello
Al fine di mantenere nel tempo un Modello efficace ed effettivo, si dovrà procedere ad aggiornamenti o adeguamenti “sostanziali” dello stesso in occasione di eventi quali, a titolo esemplificativo:
- novità legislative con riferimento alla disciplina della responsabilità degli enti per gli illeciti amministrativi dipendenti da reato;
- orientamenti della giurisprudenza e della dottrina prevalente;
- riscontri di carenze e/o lacune e/o significative violazioni delle previsioni del Modello aseguito di verifiche sull’efficacia del medesimo;
- cambiamenti significativi della struttura organizzativa o dei settori di attività della Società;
- considerazioni derivanti dall'applicazione del Modello, ivi comprese le esperienze provenienti dal contenzioso penale.
Le modifiche e/o le integrazioni al presente Modello sostanziali, anche su indicazione dell’Organismo di Vigilanza, sono rimesse alla competenza del Consiglio di Amministrazione della Società, il quale ne è pienamente responsabile.
Per quanto riguarda le modifiche e/o le integrazioni al Modello non sostanziali, quali ad esempio modifiche di nomenclatura, l’Amministratore Delegato può essere delegato dal Consiglio di Amministrazione ad operare in modo autonomo.