Le internal investigations, cioè le indagini interne aziendali, rappresentano uno strumento particolarmente duttile di cui la società può avvalersi per scopi eterogenei. In linea di massima, le indagini interne possono avere finalità interne o riparative e finalità esterne o processuali.
Le prime consistono nella verifica: a) dell’adeguatezza degli strumenti di prevenzione e gestione del rischio, ovvero nella ricognizione di eventuali carenze organizzative a cui porre tempestivo rimedio; b) dell’osservanza di procedure e protocolli interni nell’ottica di una compliance integrata e nell’individuazione del soggetto responsabile della violazione e, dunque, passibile di sanzione disciplinare; c) nella gestione delle segnalazioni del whistleblower che non appaiano manifestamente infondate.
Le finalità esterne o processuali consistono, invece, in: a) acquisizione di informazioni su fatti che coinvolgono l’azienda o i suoi dipendenti e che formano oggetto di verifica da parte dell’autorità giudiziaria; b) conseguente elaborazione della strategia difensiva (anche al fine di eventuali condotte riparatorie); c) ricerca di elementi probatori utili alla difesa dell’ente o, per contro, all’esercizio di azioni civili o penali contro l’autore del reato.
L’avvio di indagini interne è, di regola, sollecitato da un organo in house (il responsabile della funzione di internal audit, il responsabile degli affari legali, il responsabile della compliance) e segnatamente dall’Organismo di vigilanza quando la verifica abbia ad oggetto fatti (segnalati, ad esempio, dal whistleblower) da cui possa discendere la responsabilità da reato dell’ente.
In assenza di una specifica normativa che delle indagini interne stabilisca contenuto, modalità e limiti operativi, la definizione dell’obiettivo e lo sviluppo dell’attività investigativa sono rimessi alla prassi. La best practice in materia si ricava dallo Standard ISO 37008 “Internal Investigations of Organizations – Guidance, “an integral part of organizational management”, secondo cui le indagini devono articolarsi in tre macro-fasi:
- la fase pre-investigativa (c.d. “preliminary assessment”), che consiste in una valutazione preliminare della credibilità delle accuse, nella perimetrazione dell’ambito investigativo e del susseguente piano di azione;
- la fase investigativa vera e propria, che comprende le attività che i soggetti deputati allo svolgimento delle investigations possono mettere in atto per raccogliere la documentazione e le informazioni necessarie, anche tramite lo svolgimento di interviste (nel rispetto, beninteso, della privacy dei coinvolti e mantenendo riservata la documentazione acquisita);
- la fase post-investigativa, che consiste nel reporting delle attività svolte e nella proposizione di adeguate misure correttive da adottare sulla base dei risultati dell’indagine per ridurre al minimo l’impatto delle violazioni e migliorare i controlli interni, ponendo rimedio alle violazioni che avevano dato origine all’indagine stessa (c.d. “remediation plan”).
Più nel dettaglio, le fasi dell’attività investigativa consistono in:
- pianificazione dell’obiettivo investigativo e formazione del team chiamato a investigare. L’azienda può avvalersi delle sole risorse interne (l’internal audit o la funzione compliance) oppure incaricare un consulente indipendente quando l’accertamento richieda particolari competenze tecnico-scientifiche. Nel caso in cui si prospetti un rischio di natura penale, è frequente – per le ragioni che diremo – il coinvolgimento di un difensore perché svolga l’attività investigativa preventiva prevista dall’art. 391 nonies c.p.p.;
- analisi dettagliata delle informazioni e delle prove documentali raccolte. Quest’attività, che implica l’accesso alla posta elettronica, alle chat aziendali o agli archivi fisici o digitali gestiti dai dipendenti, dovrà svolgersi nel rispetto della normativa giuslavoristica e delle leggi in materia di riservatezza;
- interviste con soggetti coinvolti e testimoni che agevolino una comprensione più approfondita della documentazione già acquisita. Si tratta, beninteso, di colloqui meramente informativi a cui il dipendente deve partecipare fattivamente, senza nascondere informazioni di cui è in possesso, ferma restando la facoltà di astenersi dal riferire circostanze che implichino un suo coinvolgimento nei fatti oggetto di indagine interna. Ogni domanda dell’intervistatore che implichi una valutazione del fatto contro il lavoratore, assumerà i contorni di una contestazione disciplinare, con ciò che ne segue sotto il profilo giuridico. Il quadro muta nel caso in cui il dipendente sia già sottoposto a procedimento penale per gli stessi fatti oggetto di indagine. In tal caso, l’audito potrà esercitare un diritto al silenzio analogo a quello opposto alle autorità inquirenti e potrà, altresì, chiedere l’assistenza di un difensore[1];
- redazione di un report dettagliato che dia conto dei fatti emersi e delle prove raccolte e che prospetti, se del caso, le azioni correttive o disciplinari;
- follow-up, che individui le misure da assumere per prevenire in futuro situazioni analoghe a quella verificatasi.
Concluse le indagini, occorre gestirne gli esiti.
Il tema fondamentale è quello della salvaguardia delle informazioni confidenziali acquisite dal team investigativo, specialmente quando riguardino possibili condotte penalmente rilevanti. Non esiste, infatti, una norma che disciplini l’eventuale collaborazione con l’Autorità Giudiziaria e che preveda premi o incentivi per gli enti che conducano indagini interne[2].
Nell’accezione angloamericana, le internal investigations sono funzionali a scelte difensive che, per lo più, mirano a chiudere un accordo con il pubblico ministero finalizzato a ritardare o impedire l’esercizio dell’azione penale o, comunque, a mitigarne le possibili conseguenze di tipo sanzionatorio[3]. All’esperienza degli ordinamenti continentali è, però, estraneo quest’approccio collaborativo: non solo non esistono meccanismi di self reporting e giustizia negoziata ma non vi sono istituti equivalenti all’attorney client privilege nordamericano o al legale advice privilege britannico.
Se è vero, infatti, che nel nostro sistema processuale le informazioni assunte dal difensore munito di mandato nello svolgimento delle investigazioni preventive (art. 391-nonies c.p.p.) sono protette da eventuali intrusioni investigative dell’Autorità giudiziaria (ispezioni e perquisizioni dello studio legale, sequestro di materiale difensivo, intercettazioni delle comunicazioni del difensore, ecc.) in virtù delle garanzie previste dall’art. 103 c.p.p., ciò non vale per gli esiti delle indagini interne svolte dai responsabili delle funzioni societarie o dall’in-house counsel (privo del requisito dell’indipendenza),la cui documentazione può essere sequestrata dall’autorità giudiziaria (nelle forme del sequestro probatorio previsto dall’art. 253 c.p.p.) e utilizzata in sede processuale come prova documentale.
Se iscritto all’albo professionale, il legale d’impresa potrà, tutt’al più, rivendicare il segreto professionale in sede testimoniale ai sensi dell’art. 200 c.p.p. oppure opporsi alla richiesta di esibizione documentale di cui all’art. 256 c.p.p. ma il suo status giuridico non gli consentirà di godere delle coperture privilegiate che l’ordinamento italiano riconosce al solo difensore (nominato). D’altra parte, il legal privilege non è un privilegio dell’avvocato tout court ma una garanzia della natura fiduciaria del rapporto tra difensore e assistito e una protezione delle informazioni confidenziali che inevitabilmente emergono durante le indagini difensive.
Stando così le cose, il rischio è che le informazioni raccolte nel corso delle indagini dall’internal audit o dal giurista d’impresa siano apprese dall’Autorità Giudiziaria e poste a fondamento di iniziative penali dirette contro la società stessa.
L’unico modo per preservare le informazioni e i dati acquisiti tramite le internal investigations è, dunque, quello di ricorrere alle indagini difensive ex art. 391 – bis c.p.p. nel caso in cui sia già pendente un procedimento penale, ovvero di affidarsi alle già ricordate investigazioni preventive ex art. 391 – nonies c.p.p. nell’eventualità in cui appaia plausibile l’apertura di un procedimento penale.
In questo caso, la nomina di un difensore da parte dell’ente rappresenta l’unico strumento in grado di assicurare, da un lato, la copertura in termini di privilegio legale alle comunicazioni e ai materiali condivisi nel corso delle investigazioni e, dall’altro, la futura utilizzabilità degli elementi di prova raccolti. Il difensore, infatti, ha la facoltà (ma non l’obbligo) di presentare al pubblico ministero e, in taluni casi, direttamente al giudice gli elementi di prova in favore del suo assistito. Gli atti (ad esempio, i verbali delle audizioni che giovino alla posizione processuale della società) confluiranno nel fascicolo del pubblico ministero e potranno, quindi, essere utilizzati in giudizio per le contestazioni e letture dibattimentali.
[1] E.M. Mancuso, Le investigazioni interne nel procedimento penale: sussidiarietà regolatoria e nuovi scenari cooperativi, in F. Centonze, S. Giavazzi (a cura di), Internal Investigations. Best practices e istanze di regolamentazione, Torino, 2021,252.
[2] Allo stesso tempo, però, non esistono norme che impongono agli organi di amministrazione e controllo di svolgere indagini interne e comunicarne gli esiti alle autorità pubbliche.
[3] E. M. Mancuso, G. Varraso, Whistleblowing e indagini interne: recenti sviluppi e prospettive evolutive, in F. Centonze, S. Manacorda (a cura di), Verso una riforma della responsabilità da reato degli enti. Dato empirico e dimensione applicativa, Bologna 2023, 468.
