D.Lgs 231/2001 e responsabilità amministrativa dell'ente per reati colposi SSL

L'estensione del D.Lgs 231/2001 ai reati colposi SSL

Il D.Lgs 8 giugno 2001 n. 231 ha introdotto nell'ordinamento italiano la responsabilità amministrativa degli enti per i reati commessi nel loro interesse o a loro vantaggio dai soggetti apicali o sottoposti. Originariamente il decreto prevedeva solo i reati dolosi; la L. 3 agosto 2007 n. 123 ha inserito nell'art. 25-septies del D.Lgs 231/2001 i reati di omicidio colposo (art. 589 c.p.) e di lesioni colpose gravi o gravissime (art. 590 c.p.) commessi con violazione delle norme per la prevenzione degli infortuni sul lavoro.

Si tratta di un'estensione concettualmente innovativa, perché il D.Lgs 231/2001 nasce per i reati dolosi (corruzione, frode, riciclaggio) e il suo schema — interesse o vantaggio dell'ente — mal si adatta ai reati colposi, in cui l'evento lesivo non è voluto. La giurisprudenza ha elaborato un'interpretazione adattata: nei reati colposi SSL l'interesse o il vantaggio va riferito non all'infortunio in sé (che nessuno vuole), ma alla condotta prodromica — ad esempio il risparmio sui costi della sicurezza o il guadagno in termini di produttività — che ha determinato l'omissione cautelativa.

Questo significa che l'ente può rispondere ai sensi del D.Lgs 231/2001 se l'infortunio è avvenuto a causa di una scelta organizzativa o gestionale che ha favorito interessi economici dell'ente a scapito della sicurezza dei lavoratori. Non ogni infortunio è automaticamente un reato dell'ente: occorre dimostrare che la politica aziendale sulla sicurezza era strutturalmente deficitaria e che tale deficienza ha causalmente prodotto l'infortuno.

Le sanzioni a carico dell'ente

L'art. 25-septies del D.Lgs 231/2001 prevede sanzioni distinte a seconda del reato presupposto. Per l'omicidio colposo commesso in violazione delle norme SSL la sanzione pecuniaria è compresa tra mille e duemila quote (una quota va da un minimo di 258 euro a un massimo di 1.549 euro), il che significa che la sanzione pecuniaria può raggiungere anche oltre tre milioni di euro per le fattispecie più gravi. Per le lesioni gravi la sanzione è compresa tra duecento e mille quote; per le lesioni gravissime tra trecento e millecinquecento quote.

Oltre alle sanzioni pecuniarie, l'art. 9 del D.Lgs 231/2001 prevede sanzioni interdittive: interdizione dall'esercizio dell'attività, sospensione o revoca di autorizzazioni, licenze o concessioni funzionali alla commissione del reato, divieto di contrattare con la pubblica amministrazione, esclusione da agevolazioni, finanziamenti, contributi e sussidi, divieto di pubblicizzare beni o servizi. Le sanzioni interdittive sono le più temute dalle imprese perché possono paralizzare l'attività.

L'art. 15 del D.Lgs 231/2001 prevede la possibilità per il giudice di disporre, in sostituzione della sanzione interdittiva, la prosecuzione dell'attività dell'ente da parte di un commissario giudiziale, quando ricorrono determinate condizioni (ente che eroga un pubblico servizio essenziale, grave pregiudizio per terzi). Questa misura è applicata raramente ma ha un forte impatto organizzativo.

Il Modello di Organizzazione e Gestione (MOG) come esimente

Il D.Lgs 231/2001 prevede un'esimente per l'ente che abbia adottato ed efficacemente attuato, prima della commissione del reato, un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire i reati della specie di quello verificatosi. In materia di SSL il MOG deve essere costruito in conformità ai contenuti indicati dall'art. 30 del D.Lgs 81/08, che rappresenta la parte speciale del modello per i reati SSL.

L'art. 30 del D.Lgs 81/08 elenca gli elementi che il MOG-231 dedicato alla sicurezza deve coprire: rispetto degli standard tecnico-strutturali (macchine, DPI, impianti), attività di valutazione dei rischi e di pianificazione degli interventi, svolgimento della sorveglianza sanitaria, attività di informazione e formazione dei lavoratori, vigilanza sul rispetto delle misure di sicurezza, acquisizione di documentazioni e certificazioni obbligatorie, periodica verifica dell'applicazione e dell'efficacia del modello. Un MOG che copi le previsioni dell'art. 30 senza effettiva implementazione non è idoneo: deve essere «efficacemente attuato».

L'esimente si applica solo se il MOG era in vigore ed efficacemente attuato prima del fatto e se il reato è stato commesso eludendo fraudolentemente il modello. Se il reato è stato commesso da un soggetto apicale (CEO, direttore generale) l'esimente è ancora più difficile da dimostrare, perché presuppone che l'ente abbia adottato un modello idoneo e che il vertice lo abbia violato in modo fraudolento.

La posizione dell'Organismo di Vigilanza in materia SSL

Il D.Lgs 231/2001 richiede che l'ente istituisca un Organismo di Vigilanza (OdV) autonomo con il compito di vigilare sul funzionamento e sull'osservanza del MOG e di curarne l'aggiornamento. In materia SSL l'OdV non si sovrappone all'RSPP né al medico competente, ma svolge una funzione di controllo di secondo livello: verifica che le procedure del MOG siano applicate, che i flussi informativi verso l'OdV funzionino e che le segnalazioni di violazioni vengano gestite correttamente.

Nelle aziende di piccole e medie dimensioni l'OdV può essere monocratico e coincidere con il Collegio Sindacale, come previsto dall'art. 6, comma 4, del D.Lgs 231/2001. Nelle aziende di grandi dimensioni l'OdV è di regola collegiale e composto da membri con competenze complementari (giuridica, tecnica, gestionale). La composizione e le risorse dell'OdV devono essere proporzionate alla complessità dell'ente e ai rischi-reato individuati.

Con 123Formazione le imprese possono formare i componenti dell'OdV sugli obblighi SSL e sui meccanismi di controllo, e possono dotare i propri RSPP e preposti degli attestati di formazione necessari per dimostrare il presidio formativo all'interno del MOG. La documentazione delle attività formative è un elemento verificabile dall'OdV e dall'autorità giudiziaria.

Domande frequenti su D.Lgs 231/2001 e sicurezza

Una piccola impresa con dieci dipendenti è soggetta al D.Lgs 231/2001? Sì. Il D.Lgs 231/2001 si applica a tutti gli enti dotati di personalità giuridica e alle società di persone, indipendentemente dalle dimensioni. Non si applica invece alle ditte individuali (persona fisica). L'obbligo di adottare il MOG non è tuttavia imposto per legge: è una facoltà la cui adozione crea però l'esimente in caso di reato.

Avere il MOG certifica che l'azienda è sicura? No. Il MOG-231 è uno strumento di organizzazione e controllo, non una certificazione di sicurezza. Dimostra che l'ente ha strutturato procedure per prevenire i reati SSL, ma non garantisce l'assenza di rischi o di infortuni. È uno strumento complementare al DVR e al sistema prevenzionistico, non sostitutivo.

L'ente può essere condannato anche se il datore di lavoro persona fisica viene assolto? Sì, la responsabilità dell'ente è autonoma rispetto a quella della persona fisica. Se il reato presupposto è accertato in fatto (l'infortunio è avvenuto con violazione delle norme SSL nell'interesse o a vantaggio dell'ente), l'ente può essere condannato anche se l'autore materiale del reato non è identificato o non è punibile.

Domande frequenti

Vedi tutte le FAQ: FAQ Sicurezza sul Lavoro — Domande Frequenti