Linee Guida del CNDCEC sul funzionamento dell’Organismo di Vigilanza: gli spunti più interessanti

Con la pubblicazione delle Linee Guida per lo svolgimento delle funzioni dell’Organismo di Vigilanza, l’Osservatorio Nazionale sul D.lgs. 231/2001 istituito dal CNDCEC “intende mettere a disposizione dei professionisti e di tutti i soggetti interessati uno strumento aggiornato, concreto e facilmente applicabile, che consideri l’evoluzione della normativa, della prassi operativa e della giurisprudenza maturata in oltre vent’anni su questa materia“.

Tra le molteplici indicazioni e gli spunti più interessanti contenuti nelle Linee Guida si segnalano le seguenti tematiche:

• Compenso dell’OdV: la valutazione del quantum da corrispondere a ciascun membro deve ancorarsi a criteri come i livelli di rischio esistenti in azienda, la complessità del Modello adottato, le dimensioni e l’organizzazione dell’impresa. Il compenso, inoltre, dovrebbe essere passibile di maggiorazioni in determinati casi, come l’aumento dei rischi di reato, il coinvolgimento dell’ente in procedimenti penali, l’innalzamento del grado di complessità delle attività di vigilanza da svolgere, determinato dall’ampliamento dell’elenco dei reati presupposto o da cambiamenti nell’assetto organizzativo.

• Verbali delle riunioni dell’OdV: le Linee Guida sottolineano il valore essenziale del verbale ai fini della prova dell’effettività dell’azione di vigilanza e l’importanza della conservazione in un archivio protetto, accessibile solo ai soggetti autorizzati e sicuro sul piano informatico e della protezione dei dati e delle informazioni sensibili.

• Rispetto della normativa privacy: partendo dal presupposto che i membri dell’OdV agiscano come soggetti autorizzati al trattamento dei dati personali, la cui titolarità rimane in capo all’ente, quest’ultimo dovrebbe garantire che i componenti dell’OdV ricevano adeguata formazione privacy e che le sue attività siano svolte nel rispetto dei principi di minimizzazione, integrità e riservatezza. Ulteriore aspetto evidenziato è la necessità di coordinamento e cooperazione tra OdV e DPO.

• Compliance integrata: seppur non direttamente implicata nella gestione dei sistemi di compliance diversi da quello definito dal Modello 231, l’attività dell’OdV si connette e interseca con diverse normative settoriali, che richiedono specifici strumenti di gestione e adempimento. Le Linee Guida forniscono suggerimenti per una gestione integrata della normativa 231 con, ad esempio, la normativa in materia di antiriciclaggio, anticorruzione, salute e sicurezza sul lavoro, ambiente, ESG e di adeguati assetti organizzativi. In questo scenario di integrazione, l’OdV ha il compito di fungere da collettore tra i vari sistemi di compliance, garantendone la coerenza, l’efficientamento e un efficace scambio di informazioni tra i principali responsabili dei processi.

• Intelligenza artificiale (AI) e cybersicurezza: particolare attenzione viene concentrata sul tema dello sviluppo tecnologico, l’integrazione dell’AI nei processi aziendali e la conseguente necessità di rafforzare i presidi di controllo interno. In tale contesto in continua evoluzione, il perimetro delle attività dell’OdV subisce un ampliamento, richiedendosi anche alla sua figura la capacità di riconoscere le trasformazioni tecnologiche potenzialmente impattanti sui rischi reato, di interpretare i rischi legati a cybersicurezza e IA e di monitorare le attività per le quali si fa ricorso a macchine. Su questo punto, le Linee Guida offrono spunti operativi all’OdV, che – quanto alle misure e ai protocolli di sicurezza informatica – dovrebbe verificare l’esistenza e l’aggiornamento di policy di cybersicurezza coerenti con le normative nazionali ed europee (es. GDPR e NIS 2); verificare la formazione del personale sui rischi cyber e le modalità di segnalazione degli incidenti informatici; monitorare gli aggiornamenti tecnologici e la resilienza dei sistemi. Con riferimento, invece, all’impiego dell’IA nei processi aziendali, il documento suggerisce all’OdV di vigilare sulla trasparenza e tracciabilità delle decisioni automatizzate; sul rispetto dei principi di intervento e sorveglianza umana delle piattaforme digitali e degli algoritmi impiegati per l’esecuzione di talune attività; sulla sicurezza degli algoritmi per prevenire manipolazioni, attacchi o utilizzi non autorizzati. Si precisa, inoltre, che l’OdV, una volta monitorati i sistemi IA implementati e i rischi ad essi connessi, dovrebbe suggerire l’aggiornamento dei Modelli 231 con specifico focus sull’IA e la formazione del personale sui limiti e i rischi connessi a tali sistemi.
• Integrazione con il Tax Control Framework: le Linee Guida sottolineano l’utilità del TCF come fonte informativa utile per l’OdV ai fini dell’analisi dei processi che impattano sui rischi penal-tributari rilevanti per la 231. Nel presidio del rischio fiscale, l’OdV dovrebbe collaborare in modo strutturato e continuativo con la funzione fiscale, con i consulenti e con i revisori legali, al fine di garantire un monitoraggio efficace del TCF e una vigilanza integrata sul Modello 231.