Whistleblowing: i dipendenti non possono improvvisarsi investigatori privati

di Grace Betti*



La Suprema Corte di Cassazione, con Sentenza n. 35792/2018 ha analizzato per la prima volta la disciplina prevista dall’art. 54 bis del D. Lgs. 165/2001, introdotto dall’art. 1 co. 51 D. Lgs. 190/2012 nel testo aggiornato dall’art. 1 della l. 179/2017, tutelante il soggetto che, legato da un rapporto pubblicistico con l’amministrazione, rappresenti fatti antigiuridici appresi nell’esercizio del pubblico ufficio o servizio.

Nel caso concreto, il dipendente pubblico avrebbe illecitamente effettuato l’accesso al sistema informatico utilizzando le credenziali di un altro dipendente e quindi avrebbe creato (ed immediatamente eliminato), un falso documento di fine rapporto a nome di una persona che non aveva mai prestato servizio presso l’amministrazione.
Questo, con il fine ultimo di dimostrare la vulnerabilità del sistema.

Il dipendente pubblico deduceva la sussistenza della causa di giustificazione ai sensi degli artt. 54 e 54 bis del D. Lgs. 165/2001 secondo i quali, sulla base del vincolo di fedeltà che lega il dipendente all’amministrazione, sul ricorrente gravava l’obbligo di segnalazione di condotte illecite di cui fosse venuto a conoscenza nell’esercizio del servizio.

La Corte di Cassazione, riprendendo l’art. 54 bis ha quindi chiarito la duplice ratio di tale norma, ossia:

• delineare uno status giuslavoristico in favore del soggetto che segnala illeciti; 
• favorire l’emersione, dall’interno delle organizzazioni pubbliche, di fatti illeciti, promuovendo forme più incisive di contrasto alla corruzione. 

Inoltre, la Corte ha chiarito che tale normativa non fonda alcun obbligo di attiva acquisizione di informazioni, autorizzando improprie attività investigative, in violazione dei limiti posti dalla legge. Sono applicati pertanto i medesimi principi che giustificano la condotta dell’agente provocatore.

Tale condotta, infatti, non si deve inserire con rilevanza causale nell’iter criminis ma deve intervenire in modo indiretto e marginale concretizzandosi prevalentemente in un’attività di osservazione, di controllo e di contenimento delle azioni illecite altrui.

Sulla base delle motivazioni della Corte, ai dipendenti non è richiesto di porre in essere una condotta attiva o di improvvisarsi investigatori compiendo atti illeciti con il fine di ricercare/dimostrare elementi funzionale alla segnalazione di potenziali illeciti, ma esclusivamente di riportare condotte di cui si è venuti a conoscenza nell’esercizio del servizio.

Tuttavia, per il dipendente pubblico è scattata la non punibilità ai sensi dell’art. 131 bis c.p.: esclusione della punibilità per particolare tenuità del fatto.

* Grace Betti è Forensic Accountant presso Axerta Investigation Consulting

Reati societari e corruzione tra privati (Convegno, 28.11.18 - Milano)

Synergia Formazione S.r.l.

Via Pomba, 14, 10123 – Torino

Tel. 011 812 91 12 – Fax 011 817 36 63 – C.F. e P. IVA 08906900017

e-mail: info@synergiaformazione.it  - www.synergiaformazione.it

Focus D.Lgs. 231/01

REATI SOCIETARI 

E CORRUZIONE TRA PRIVATI

Milano, 28 Novembre 2018

Centro Congressi Palazzo delle Stelline

PROGRAMMA

Mattina

v La costruzione e la perimetratura del modello organizzativo ex D.Lgs. 231/01 in materia di reati societari e corruzione tra privati; il ruolo dell’OdV nella definizione del MOG

• indicazioni operative per la costruzione della parte speciale del MOG in tema di reati societari
• norma ISO 37001e nuovo sistema di gestione del rischio corruzione
• responsabilità dei manager nel reato di corruzione tra privati
• importanza della formazione e del training in ambito 231/01

Avv. Giuseppe Vaciago 

(Partner R&P Legal Studio Associato, Milano)

v I reati societari ex D. Lgs. 231/01: analisi delle singole fattispecie ed esperienze riscontrate nell’attività professionale

• corruzione nazionale
• corruzione internazionale
• falso in bilancio
• 231/01 e compliance OCSE

Avv. Marco Calleri 

(Partner Studio Legale Mucciarelli, Milano)

v La corruzione tra privati (art. 2635 c.c.): analisi della normativa anticorruzione ed esperienze maturate nell’attività professionale

• corruzione tra privati: soggetti, condotta, finalità, procedibilità, confisca
• istigazione alla corruzione tra privati (art. 2635 bis c.c.)
• corruzione tra privati e D. Lgs. 231/01: soggetti, interesse/vantaggio dell’ente, sanzioni, MOG
• recente giurisprudenza e casi professionali

Avv. Andrea Scarpellini 

(Resp. Dip. Diritto Penale Economia -  Partner STVTAX,  Milano)

v La disciplina delle segnalazioni in azienda (c.d. whistleblowing): aggiornamento del modello organizzativo, best practice e profili penali

• disciplina del whistleblowing nel settore privato: destinatari e ambito di applicazione
• oggetto delle segnalazioni e requisiti del MOG
• soggetti destinatari delle segnalazioni e possibile conflitto di competenze
• fattori che generano la  necessità di tutela penale: abuso e neutralizzazione della segnalazione
• fenomeno del whistleblowing a livello internazionale e best practice di riferimento

Avv. Andrea Puccio 

(Founding & Managing Partner Puccio Giovannini – Penalisti Associati, Milano)

Pomeriggio

TAVOLA ROTONDA

Moderatore: Avv. Barbara Indovina

v  Come difendersi dalle accuse e l’impostazione della difesa in materia di reati societari e, in particolare, di corruzione tra privati: approccio multidisciplinare sia come CT dell’accusa che come CT della difesa

• approccio multidisciplinare come metodo vincente di difesa
• ruolo del CT nell’ambito dell’accusa e della difesa
• ruolo dell’OdV nelle verifiche
• ruolo del penalista nella strategia difensiva e nel coordinamento multidisciplinare
• informatica forense quale indispensabile strumento di analisi in mano alla difesa
• vicende processuali nell’esperienza professionale
• analisi della recente giurisprudenza in materia
• case study: answer & question tra attori coinvolti

Dott. Stefano Martinazzo 

          (Responsabile Forensic Accounting & Litigation Dept. AXERTA S.p.A.)     

Avv. Gian Filippo Schiaffino

        (Founding Partner AMTF Avvocati, Milano)     

Dott. Alessandro Borra

          (Digital Forensics e Sicurezza Informatica, Amministratore TRE 14 S.r.l., Milano)       

Avv. Barbara Indovina 

          (Head of Legal Affairs, Forensica)        

La partecipazione all'evento è a numero chiuso.

La priorità è determinata dalla ricezione della scheda di iscrizione.
La quota di partecipazione può essere finanziata dai Fondi Paritetici InterprofessionaliPer scaricare la brochure del programma e per iscriversi, cliccare QUI

Digital forensics alla luce del GDPR

Il nuovo regolamento europeo in materia di privacy (n. 2016/679/CE), altresì indicato con l'acronimo "GDPR" è già argomento di una notevole quantità di convegni, articoli e manuali, tanto che il blog non aggiungerà altra letteratura sull'argomento.

Pare utile, tuttavia, fare un breve cenno alle disposizioni contenute all'art. 32 del Regolamento, in merito alle misure di sicurezza che il titolare (o il responsabile del trattamento) deve adottare.

L'elenco, non esaustivo, indica le seguenti misure:

• i dati personali devono esse "pseudonomizzati" e cifrati;
• la struttura tecnico-organizzativa dei sistemi e dei servizi di trattamento deve garantire il permanente mantenimento della riservatezza, dell’integrità, della disponibilità e della resilienza dei dati ivi gestiti;
• in caso di incidente fisico e/o tecnico, l'organizzazione aziendale deve garantire il ripristino tempestivo della disponibilità dei dati e del relativo accesso;
• introduzione di procedure operative in grado di testare, monitorare e valutare l'efficacia delle misure tecnico-organizzative sopra elencate.

Il sistema organizzativo indicato dal GDPR implica, quindi, la pianificazione di vere e proprie attività di risk assessment del tutto analoghe, come approccio teorico-pratico, alle procedure previste in tema di controlli interni, modelli organizzativi ex d.lgs. 231/01 e fraud risk management.

La domanda sorge spontanea. Assisteremo anche in materia di privacy alla diffusione di specifici servizi di consulenza, come successo con l'introduzione del "modello 231" e l'utilizzo dei metodi "risk based approch"?

E' molto probabile di sì!

A tal proposito si osservi come il GDPR definisce i gradienti del "data breach" (violazioni dei diritti personali) a seconda della gravità, della tipologia, del numero e dell'estensione delle varie violazioni, indicando i connessi obblighi di notifica e di segnalazione e i rimedi da adottare.
E' un approccio legislativo già visto e già abbondantemente applicato in altri ambiti in azienda; basti pensare alle "scale di rischio", classificate ricorrendo ai colori del semaforo.

E' piuttosto chiaro, infine, come le procedure di "digital forensics" possano contribuire efficacemente alle indagini informatiche finalizzate ad individuare i responsabili di possibili violazioni dei dati personali.

Anche in questo caso la tecnica esiste già, bisogna solo estenderne l'applicazione alla tutela dei dati personali.

Distrazione d’azienda, l'orientamento della Cassazione

Torniamo su un argomento già trattato dal blog relativo alla "distrazione d'azienda" al fine di indicare un breve elenco dei pronunciamenti della Corte di Cassazione sul tema.

In particolare per contrastare queste frodi, la Corte ha consolidato orientamenti ispirati al principio di “prevalenza della sostanza sulla forma”. Ciò al fine di superare il maggiore ostacolo al contrasto di queste frodi: il rispetto formale della legge che caratterizza molte distrazioni d’azienda. 

In particolare, secondo la Suprema Corte:

• “La circostanza che gli atti dispositivi seguano schemi formalmente legali secondo le norme civilistiche non è dunque sufficiente ad escluderne la rilevanza ai fini penali, se l'agente, mediante gli stessi, e ponendo in essere un'attività negoziale sostanzialmente fraudolenta, ha determinato uno squilibrio tra attività e passività capace di mettere in pericolo le ragioni dei creditori.” (Cass. pen. Sez. I, 15/04/2011, n. 18028).

• “Per distrazione deve intendersi non necessariamente la fisica estromissione dei beni, ma anche la mera insorgenza di obbligazioni foriere di perdita di ricchezza” (Cass. pen. Sez. V, 04/04/2003, n. 37565, Cass. pen. Sez. V, 05/06/2003, n. 36629).

• Sono considerate fraudolente tutte quelle operazioni volte a “distaccare dal patrimonio […] tutte o parte delle attività, in quanto tale depauperamento si risolve in un pregiudizio per i creditori.” ( Cass. pen., 26/11/1987).

• Costituisce reato la condotta diretta ad impedire che un bene dell’impresa sia utilizzato per il soddisfacimento dei diritti dei creditori dell’impresa vittima di frode. “Questa condotta si produce o può prodursi sia quando il bene sia venduto, sia quando venga anche temporaneamente ceduto e lo spostamento sia suscettibile di recare pregiudizio ai creditori” (Cass. pen. Sez. V, 19/09/1995, n. 10220).

• “La cessione in locazione di beni ad un corrispettivo modesto in relazione al valore dei medesimi sia enfatizzata dalla qualificazione nel loro complesso quale vero e proprio ramo d'azienda ovvero sussista cessione a titolo definitivo per un valore estremamente inferiore a quello venale in comune commercio.” (Cass. pen. Sez. V, 11/10/2011, n. 121).

• “L'operazione di scissione societaria assume rilevanza quale fatto di bancarotta fraudolenta per distrazione, ogni qualvolta si presenta come produttiva di effetti immediatamente e volutamente depauperativi del patrimonio societario ed in prospettiva pregiudizievole per i creditori nell'ipotesi in cui si addivenga ad una procedura concorsuale.” (Cass. pen. Sez. V, 10/04/2015, n. 20370).

• Vi è frode anche quando si è “in presenza di un'iniziativa economica in sé legittima, che si riferisca ad una impresa in stato pre-fallimentare, producendo riflessi negativi per i creditori”. In particolare, è considerata fraudolenta “la cessione di un ramo di azienda di un'impresa in stato fallimentare, effettuata per un prezzo corrispondente alla differenza algebrica tra attività e passività del ramo di azienda ma che, per la sua esiguità, rende priva la cedente della possibilità di proseguire utilmente l'attività, con conseguente sottrazione di ogni garanzia per il soddisfacimento dei diritti dei creditori non compresi nel trasferimento.” (Cass. pen. Sez. V, 01/04/2015, n. 24024).

• Sono considerati fraudolenti quegli gli atti di disposizione, privi di adeguata contropartita, dell'azienda o quantomeno dei fattori aziendali. In particolare, integra reato “l'intenzionale dispersione da parte dell'imprenditore dell'avviamento commerciale anche in assenza di alienazione od eterodestinazione dei beni aziendali”. (Cass. pen. Sez. V, 11/12/2012, n. 3817)

Whistleblowing: l'anonimato è sempre garantito?

Chi opera nel settore delle indagini economico-finanziarie si trova ormai quotidianamente ad affrontare casi di segnalazioni anonime di irregolarità e di comportamenti sleali verso l'azienda, nel settore pubblico come nel settore privato.

Infatti anche un semplice impiegato dell'ufficio acquisti o dell'ufficio contabilità, può trasformarsi in un determinato e formidabile strumento di tempestiva segnalazione di fatti anomali legati a frodi, abusi, truffe, furti, corruzione, riciclaggio e pericoli alla sicurezza nei luoghi di lavoro, tanto da fornire elementi oggettivi per intercettare un comportamento illecito in corso di svolgimento.

E' il cosiddetto "whistleblower"! 

E' il leale collaboratore dell'imprenditore, che avendo a cuore le sorti dell'organizzazione per la quale lavora e dalla quale percepisce lo stipendio, si trasforma in un'efficace sentinella antifrode.

Ma come assicurare l'anonimato al whistleblower in modo tale da garantigli la necessaria serenità e fiducia nel formulare la propria segnalazione? 

Come assicurargli la dovuta protezione da atti di ritorsione di colleghi e superiori? 

Esistono sistemi realmente garantiti per assicurare l'anonimato?

Una possibile soluzione, ormai sperimentata da lungo tempo nel contesto aziendale americano e inglese, è il ricorso alle procedure informatiche.

Ad esempio, a servizi in outsourcing a ciò dedicati.

Questi, infatti, hanno due pregi principali: il database nel quale sono registrate le segnalazioni è esterno all'azienda, ubicato da qualche parte nel cloud, mentre l'identità del dipendente è garantita da accessi con credenziali alfanumeriche non direttamente associate ai dati personali.

Inoltre questi sistemi informatici sono in grado di attribuire un codice univoco alla segnalazione e monitorarne lo stato di trattamento successivo (presa in carico, gestione, indagine, esito, sanzioni e/o provvedimenti comminati eccetera), riepilogando tutto ciò nella pagina web creata dal sistema per quella specifica segnalazione, alla quale il solo segnalante può accedere.

Tra l'altro questi ambienti di comunicazione, a maggior tutela della privacy, possono essere collocati, organizzati e gestiti nella "deep web" o nella "darknet", accessibile tramite la rete anonima "tor".

Naturalmente la procedura può prevedere anche una segnalazione che ne identifichi l'autore che la formula. In questo caso, tuttavia, l'informazione legata all'identità del segnalante è conosciuta esclusivamente dagli apparati di governance, internal audit e/o dagli organismi di vigilanza e sicurezza aziendali.

Non ultimo, il problema legato alle false e/o illegittime segnalazioni. 
Queste possono essere formulate per screditare o danneggiare un collega dell'ufficio o un superiore gerarchico.
Anche in questo caso, il sistema informatico è in grado di identificare a priori le segnalazioni non veritiere, attraverso una serie di indicatori di anomalia generati automaticamente dal sistema. 

Queste procedure informatiche, sulla base all'esperienza maturata in questi ultimi anni, permettono alle aziende di individuare in anticipo le patologie aziendali, addirittura ancora in corso di svolgimento e, conseguentemente, di diminuire il numero e il danno delle frodi, con un notevole vantaggio sia in termini economico-finanziari che di immagine.

Il "racconto", un efficace metodo di spionaggio

I servizi di intelligence, siano essi di spionaggio o di controspionaggio, ricorrono costantemente, per acquisire informazioni, alla collaborazione di cittadini convinti di contribuire alla sicurezza nazionale.

In questo caso si parla di collaborazione di tipo volontario, finalizzata a fornire indizi e/o prove sufficientemente convincenti per orientare una determinata operazione o definire o chiarire un determinato tassello dello scenario.

Naturalmente esistono anche altre forme di "collaborazione", ad esempio quella involontaria, cioè quando il contributo del cittadino è fornito inconsapevolmente, senza che questo conosca il fine o il mezzo grazie al quale si apprendono le informazioni.

Nel 1400 era in uso presso i servizi di sicurezza delle principali città-stato della penisola, un metodo molto raffinato per ottenere informazioni, notizie e segreti, inerenti, ad esempio, i traffici economici, l'organizzazione delle amministrazioni pubbliche straniere, le vicende politiche, la volontà di applicare dazi sui commerci o il potenziale bellico avversario.

Si tratta del cosiddetto "racconto".

In buona sostanza quando un cittadino desiderava ottenere una concessione pubblica, una cittadinanza per se, per un proprio famigliare o per un amico, un incremento di stipendio nell'apparato pubblico, la rateizzazione di un debito oppure un qualche sussidio di sopravvivenza, doveva dare in cambio qualcosa, che spesso si traduceva in un suggerimento, in una rivelazione, in un ricordo oppure... in un racconto!

Nella Repubblica veneziana, il racconto era stato addirittura istituzionalizzato in un documento firmato dall'interessato, da presentare presso il Consiglio dei Dieci, contenente la descrizione di un dettaglio strategico quale, ad esempio, l'esito dei test di una nuova arma, oppure la definizione di tattiche militari innovative ovvero di un nuovo metodo per risparmiare denaro pubblico o aumentare le entrate dello Stato.

La forma anonima del "racconto" è stata regolamentata dalla "legge dei biglietti" promulgata nel 1607 dalla Repubblica marinara di Genova, la quale consentiva che, senza alcuna istruttoria e raccolta di prove, ma col solo voto segreto ed immotivato della maggioranza dei tre quinti dei Consiglieri, qualunque individuo potesse essere inviato per due anni al confino.

Un metodo che, secondo il Serenissimo Andrea Spinola, 99° Doge della Repubblica di Genova, era utile nella "scienza dello stato e a schivar pericoli pubblici".

Assenteismo: un'ingiustizia tollerabile? (Convegno - Padova, 20.4.18)

Convegno 

AXERTA 

Investigation Consulting

ASSENTEISMO: UN'INGIUSTIZIA TOLLERABILE?

prassi, giurisprudenza e strumenti di contrasto

20 aprile 2018 

dalle 10.00 alle 13.00

c/o Orto Botanico di Padova

Programma dell'evento

Moderatore: Ario GERVASUTTI - Caporedattore de Il Gazzettino

Ore 9:15 - Accreditamento e welcome coffee

Ore 10.00 - Saluto di benvenuto e apertura lavori

Gen. C.A. Michele FRANZÈ - Presidente di Axerta S.p.A.
Prof. Rosario RIZZUTO - Magnifico Rettore dell'Università di Padova
Gen. C.A. Giuseppe VICANOLO - Com. Interregionale Nord Orientale della Guardia di Finanza

Temi

"Permessi e congedi con finalità assistenziali: vincolo fiduciario e comportamenti abusivi"
PROF. Carlo CESTER - Professore Emerito di Diritto del Lavoro, Università di Padova

"La raccolta di prove e l'iter disciplinare (dalla contestazione al licenziamento per giusta causa)"
AVV. Gianluca SPOLVERATO - Avvocato Giuslavorista, Studio Spolverato Barillari

"L'assenteismo come truffa al datore di lavoro e ai danni dello Stato - profili penalistici"
AVV. Paola RUBINI - Avvocato Giuslavorista, Studio Ghedini-Longo

"L'assenteismo nell'esperienza giurisprudenziale"
DOTT. Fabio Massimo GALLO - Giudice e Presidente Vicario Sezione Lavoro Corte Appello Roma

Ore 13.00 - Tavola rotonda: Question time: 30 min.

Saluto finale

DOTT. Giovanni GIURIATO - Presidente gruppo Triveneto di AIDP

Al termine

Light lunch e visita guidata all'Orto Botanico di Padova

Partners 

Università degli Studi di Padova  /  AIDP - Associazione Italiana per la Direzione del Personale

L'evento è a numero chiuso

Pre-iscrizione gratuita: www.axerta.it/events

Anticorruzione: intervista a Ermelindo Lungaro

Il giornalista Andrea D’Orazio del Giornale di Sicilia ha recentemente intervistato un amico del blog Fraud Auditing & Forensic Accounting, sul tema dell'anticorruzione.

Si tratta di Ermelindo Lungaro, docente al Master Anticorruzione dell’Università Tor Vergata di Roma e presidente di diversi board di vigilanza aziendale, senza dubbio uno dei principali professionisti del settore.

Riportiamo nel seguito l'estratto dell'articolo pubblicato dal Giornale di Sicilia.

di Andrea D'Orazio (Giornale di Sicilia)

È sempre lì, dietro l’angolo, pronta a farsi strada tra gli affari pubblici e privati ogni volta che girano soldi e appalti. Si chiama corruzione, e quando viene a galla, puntualmente, trascina con sé una domanda: è davvero possibile bloccare il malaffare, fermarlo alla radice prima che si manifesti? Ermelindo Lungaro, docente al Master Anticorruzione dell’università Tor Vergata di Roma, presidente di diversi board di vigilanza aziendale, nipote dell’eroe partigiano Pietro Ermelindo a cui è dedicata una caserma di polizia a Palermo, è fermamente convinto «che la prevenzione è a portata di mano, visto che l’Italia, quantomeno in linea teorica, ha degli anticorpi che gli altri Paesi neanche si sognano».

Cioè?

«Un sistema normativo all’avanguardia basato su due pilastri: la legge 231 del 2001, che prevede l’esistenza di organismi di controllo interni alle imprese, e la 190 del 2012 - la cui cabina di regia è affidata all’Anac di Raffaele Cantone - che ha introdotto la logica preventiva anche nella pubblica amministrazione e nelle società partecipate, per arginare la cosiddetta corruzione passiva, quella dei funzionari infedeli che intascano mazzette per orientare l’assegnazione delle commesse. Ma evidentemente una solida base giuridica non basta».

Perché? Cosa vanifica questi «anticorpi»?

«Due fattori, che nella mia carriera riscontro soprattutto nel settore pubblico, uno di tipo culturale, l’altro legato a un problema di competenze. Il primo, dipende da un’ignoranza diffusa: in pochi sanno come funziona davvero la legge, che rimane il più delle volte solo un pezzo di carta. La norma anticorruzione prevede, ad esempio, l’attuazione di piani di prevenzione, ma in molti enti e società pubbliche questi programmi non vengono né aggiornati né concretamente applicati. A monte, c’è anche e soprattutto un problema politico. Dovrebbe essere la classe dirigente a dare l’input, ma manca la volontà, o per superficialità o peggio ancora per tornaconto personale».

E la questione della competenza? La legge prevede anche la figura di un responsabile interno che sorvegli la macchina amministrativa.

«Per prevenire la corruzione non si può improvvisare, bisogna avere grande esperienza, anche perché la stessa normativa, in ambito pubblico, richiede di andare oltre l’approccio formale: prevede un lavoro di fino, chirurgico, per andare a scovare le aree grigie dove si annida il malaffare. Purtroppo, il più delle volte, i responsabili interni della vigilanza non sono all’altezza del compito, hanno un deficit di preparazione e si limitano al compitino, al meccanico adempimento dei programmi di prevenzione».

Lei di piani ne ha stilati diversi, per aziende e comuni, anche per l’Anci, e ha girato l’Italia per spiegare ai manager come si combatte il fenomeno corruttivo. Cosa insegna a tutti loro?

«Che la normativa anticorruzione è lo strumento ideale per togliere un po’ di scheletri dall’armadio, per fare un po' di pulizia e rendere le società che amministrano più trasparenti e, di conseguenza, più efficienti. Il messaggio è: vigilate, e non esitate a denunciare chi commette un illecito. Devo dire che vengo ascoltato più dai manager del settore privato. Hanno meno remore a vuotare il sacco, forse perché sono più attenti al rischio di impresa, perché capiscono che la corruzione può distruggere l’immagine e il profitto aziendale».

Le "operazioni baciate"

Le indagini sui recenti dissesti di noti istituti di credito italiani hanno fatto emergere gravi comportamenti irregolari (probabilmente illeciti) di amministratori e dirigenti di alto rango a danno della propria clientela.

Senza entrare nel merito dei tecnicismi fraudolenti scoperti dagli organi inquirenti, tali comportamenti sono legati alle cosiddette "operazioni baciate", che la cronaca ha chiamato anche "finanziamenti (o prestiti) baciati".

In buona sostanza l'istituto di credito concedeva prestiti o finanziamenti a condizioni favorevoli ottenendo da parte del cliente beneficiario dei fondi, la disponibilità per l'acquisto, per una quota-parte o per l'intero denaro ricevuto, di azioni e/o obbligazioni del medesimo istituto bancario.

Non sfugge l'analogia con uno schema avente finalità analoghe, già visto applicare da una banca milanese negli anni '70, ma che aveva come "sponda" per l'acquisto di azioni proprie, con propri capitali, in luogo a semplici clienti, altri istituti di credito e/o società intermediarie per lo più aventi sedi nei paradisi fiscali.
Si tratta in questo caso dei famosi "depositi back to back", di cui questo blog si è più volte occupato.

Tornando alle "operazioni baciate", lo schema era ben più semplice rispetto alle "operazioni back to back" perchè coinvolgeva la clientela non professionale, la quale in tutta onestà e fiducia assecondava la proposta di finanziamento formulata dalla propria banca.

Ma vediamo con il seguente esempio teorico come si realizza lo schema fraudolento.

1. In data 1° marzo il cliente Beta richiede un finzanziamento di € 1 milione alla Banca Alpha. 

2. In data 15 marzo la società Gamma, controllata al 100% da Alpha, concedere a Beta un ulteriore finanziamento di € 500.000, finalizzato alla sottoscrizione dell'aumento di capitale di Alpha.

3. In data 20 marzo Beta acquista le azioni di Alpha con il prestito ricevuto da Gamma e inserisce tali azioni nel proprio deposito amministrato (da Alpha), costituito anche da altri strumenti finanziari. 

4. In data 2 aprile, Alpha concede a Beta il finanziamento di € 1 milione, richiedendo a garanzia al cliente un pegno sul deposito amministrato.

L'operazione appena descritta, ha come conseguenza una diluizione del capitale di Alpha in quanto, di fatto, si utilizzano capitali propri per sottoscrivere proprie azioni; in altre parole non è stato introdotto nelle casse della banca Alpha nessun nuovo capitale a fronte della sottoscrizione delle nuove azioni.

Convegno dell'Associazione dei CT nominati dall'Autorità Giudiziaria (Roma 29.1.18)

                                                          

Seminari ASSOTAG

Associazione Italiana dei Periti e dei Consulenti Tecnici

nominati dall'Autorità Giudiziaria

Indici sintetici di costo e sindacabilità del pricing dei finanziamenti

Sala Conferenze Fondazione Lelio Basso

 Via della Dogana Vecchia, 5 - Roma

 29 gennaio 2018: h 14.30 – 17.30

PARTECIPAZIONE SU INVITO

Il merito di credito viene misurato come rischio che il debitore non restituisca l'ammontare del credito ricevuto e gli interessi pattuiti nei tempi e modi convenuti. L'indice misurato è universalmente qualificato in letteratura come la probabilità di default (PD default probability), valore percentuale da 0% a 100%, ovvero tra gli estremi di rischio zero (PD=0%) e default conclamato (PD=100%).

Gli indici di costo TAN e TAEG sono invece degli indici di prezzo, che rappresentano il costo finanziario del finanziamento (TAN) ed un costo aggregato comprensivo di tutti gli altri costi non finanziari tra i quali, ad esempio, quelli assicurativi (TAEG).

La differenza ontologia tra le due nature di indici dovrebbe apparire evidente, essendo il merito creditizio (misurato dalla PD) solo una delle componenti che contribuiscono al complessivo valore di costo del credito (TAN), e spesso neppure quella fondamentale, essendo i prezzi dei prodotti di finanziamento fortemente collegati piuttosto ai valori di approvvigionamento della banca (funding) e certamente diretti dalle indipendenti strategie e pratiche commerciali dei vari operatori finanziari che si confrontano competitivamente sul mercato dei prodotti di finanziamento.

Va da se che all'osservatore esterno alla banca, ad esempio all’analista finanziario indipendente, risulta estremamente arduo, se non impossibile, ricalcolare il merito di credito di un cliente della banca, il valore della sua PD, derivando questa valutazione da elaborazioni ed assunzioni informative proprietarie, congiunturali e non di rado di natura sensibile.

Quale è la natura tecnica del merito creditizio e come si calcola? Quale è la natura fiduciaria e sociale del rapporto di credito? Quali le conseguenze economiche? Quali conseguenze derivano dalla focalizzazione della differenza tra merito creditizio (ovvero la misura del rischio) e gli indici di costo del credito (ovvero il pricing del credito alle imprese e famiglie)?

Ne discutiamo insieme con i relatori con metodo multidisciplinare.

Programma

14:30 Saluti

Interventi

Prof. Francesco Quarta, Università di Bologna
Avv. Massimo Cerniglia, Studio Cerniglia
Prof . Antonio Rinaldi, Università di Chieti Pescara
Dott.ssa Elisabetta Mercaldo, FABI
Analista Rating, Agenzia di rating - da confermare
Analista Finanziario, AIAF – da confermare
Professore di scienze sociali – da confermare
Modera Alfonso Scarano, Presidente AssoTAG

16:30 Dibattito

L'associazione AssoTAG conta su circa 1300 relazioni che si tengono  attraverso l'iscrizione al blog Linkedin, raggiungibile all’indirizzo https://www.linkedin.com/groups/51178

Le opinioni e i contenuti espressi nell'ambito del seminario sono nell'esclusiva responsabilità dei relatori.

La partecipazione è consentita solo registrandosi all’indirizzo www.goo.gl/s5dSCr

Vuoi valutare il tuo livello di sicurezza informatica? Ora c'è il Cyber Security Check

Il Cyber Security Check nasce dal "Progetto Cyber Security" di Assolombarda in collaborazione con il Centro Studi sulla Sicurezza Informatica della Sapienza (CIS) e il Cybersecurity National Lab (CINI).

Il progetto di Assolombarda nasce con l’obiettivo di supportare le imprese con strumenti concreti per la messa in sicurezza del proprio patrimonio aziendale. 

E come non iniziare con uno strumento che permette di valutare il livello di esposizione agli attacchi informatici?

Infatti, nel 2016, solo in Europa si sono verificati più di 4.000 attacchi informatici al giorno che hanno riguardato ben oltre l’80% delle aziende. Anche in Italia il fenomeno è dilagante, raggiungendo dimensioni sempre più pesanti e pericolose.

Lo strumento, presentato da Assolombarda lo scorso maggio, è concettualmente molto diretto e veloce.
Si tratta di un questionario di 14 semplici domande che consente alle aziende che lo utilizzano di ottenere un quadro sintetico ma completo sul cyber risk e focalizzare l’attenzione sugli aspetti strategici per mettere in sicurezza i propri sistemi. 

Le domande riguardano diversi aspetti quali i processi produttivi, la formazione, la connessione internet, l’aggiornamento dei software eccetera.

Il Cyber Security Check è disponibile, previa registrazione, cliccando sul seguente link:

Assolombarda - Cyber Security Check

Controllo delle mail aziendali. Si può?

L'argomento di oggi è certamente di attualità.
Tratta del potere del datore di lavoro di controllare il lavoratore ottenendo evidenze probatorie per procedere al licenziamento per giusta causa.

Può dunque il datore di lavoro controllare la posta elettronica del dipendente?

Nella quasi generalità delle aziende strutturate, vige un regolamento interno che vieta l’utilizzo dei dispositivi elettronici aziendali per fini personali.
Ma questo generico divieto è sufficiente per legittimare i controlli sui messaggi di posta elettronica?

Una recente Sentenza della Corte Europea dei Diritti dell'Uomo (Case of Barbulescu v. Romania, Application n. 61496/08) ha ritenuto non sufficiente il generico divieto all'uso della posta aziendale per fini privati.
Nel caso trattato dalla Corte, infatti, non è stata fornita al dipendente alcuna informazione relativa alle modalità di controllo che l'azienda avrebbe messo in atto per vigilare sull'utilizzo della posta elettronica.

La sentenza è certamente importante anche perché traccia una sorta di vademecum per valutare la legittimità dei controlli aziendali sui messaggi di posta elettronica dei dipendenti.

Vediamo dunque quali sono le condizioni di base per il controllo delle mail.

Innanzitutto tali condizioni si traducono in un sostanziale obbligo da parte del datore di lavoro di informare in modo dettagliato ed esaustivo il proprio dipendente:

1. sulla possibilità che l'azienda avvii attività di controllo dei messaggi di posta elettronica;
2. sulle modalità e sullo scopo di tali controlli;
3. sul momento di inizio delle attività di accertamento.

Inoltre, quando l'attività di monitoraggio si è conclusa, l'azienda dovrà informare il dipendente riguardo:

1. quante e quali comunicazioni sono state oggetto di controllo;
2. al periodo nel quale è avvenuto il monitoraggio;
3. quante persone hanno avuto accesso ai messaggi di posta;
4. alle motivazioni che hanno spinto l'azienda a procedere alle attività di sorveglianza.

Da osservare che anche lo strumento tecnico utilizzato dall'azienda per il monitoraggio è rilevante ai fini del giudizio sulla legittimità del controllo.
Infatti la Sentenza della Corte Europea afferma con chiarezza che il controllo è in ogni caso illegittimo se potevano essere adottati metodi e/o strumenti meno invasivi della privacy del lavoratore.

E' doveroso, infine, richiamare un principio più volte ribadito dalla giurisprudenza italiana e europea che distingue le mail professionali da quelle private, le quali non possono essere in alcun modo oggetto di controllo.
Le sole email di carattere professionale possono costituire oggetto di monitoraggio esclusivamente se necessario per la sicurezza o per altri motivi legittimi e solo a seguito di preventiva informativa ai lavoratori.

In ogni caso non sono ammessi controlli prolungati, costanti o indiscriminati e non è consentito l'utilizzo di applicazioni tecniche che vigilano in modo permanente sull'utilizzo della posta elettronica da parte del lavoratore. 

Tracciabilità bancaria: un sistema ancora vulnerabile

Da tempo i trasferimenti bancari sono tracciati dai sistemi informativi degli istituti di credito.
Così un flusso finanziario è registrato sui dispositivi informatici delle banche con l'indicazione del codice IBAN, del conto corrente beneficiario oppure ordinante, del soggetto fisico o giuridico che dispone o che riceve l'ammontare di denaro, della causale del pagamento, della data della valuta e della disposizione dell'operazione.

I sistemi di tracciamento permettono di registrare anche l'eventuale banca intermediaria, l'identità del gestore o dello sportellista che materialmente ha inserito l'operazione nel sistema dei pagamenti e l'indicazione della filiale presso cui è stato ordinato un determinato bonifico o è stata prelevata o depositata una certa somma di denaro.
Attraverso un tracciato testuale e automatico (detto "log") è quindi possibile avere ogni dettaglio di un certo flusso finanziario transitante tra due conti correnti bancari.

La tecnologia tuttavia non è ancora capace di interpretare la vera natura delle operazioni bancarie inserite a sistema.
In altre parole non è in grado di individuare quei trasferimenti di denaro frutto di situazioni contabili volutamente diverse da quelle reali.

Recentemente indagini molto complesse hanno scoperto che cittadini svizzeri avevano acquistato opzioni sul rublo per rivenderle a società collegate ai medesimi, aventi sede a Montecarlo.
Pertanto il venditore e l'acquirente coincidevano nella medesima persona.

Per la modalità di funzionamento delle opzioni, il soggetto che perde denaro a Lugano è lo stesso che li guadagna a Montecarlo.
In sostanza quindi il denaro riconducibile ad uno stesso soggetto si trasferisce dalla Svizzera a Montecarlo senza che il tracciamento bancario riesca a valutare in modo automatico questa operazione come sospetta.

Si immagini ora che si ripeta il medesimo schema tra Montecarlo e Dubai, tra Dubai e Macao, tra Macao e le British Virgin Islands e così via.

Il flusso finanziario potrebbe continuare frammentandosi e riunendosi in un continuo valzer finalizzato ad occultarne l'ammontare e la riconducibilità ad una persona fisica, nel suo transumare tra lidi ufficiali e destinazioni maggiormente protette grazie al segreto bancario...

Cercasi "computer & digital forensics manager"

settembre 2017



Posizione aperta:

"Computer & digital forensics manager"

Descrizione attività:

In sintesi l'informatica forense (o "computer forensics") è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, l'analisi e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un procedimento giuridico (in sede civile, penale, amministrativa, tributaria o arbitrale) e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici.

Si tratta di una disciplina di recente formazione (la sua nascita si colloca intorno al 1980 ad opera dei laboratori tecnici della FBI).

Con l'aumento dei crimini informatici e, soprattutto con una presa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina.

La posizione ricercata si rivolge ad un "computer & digital forensics manager", cioè ad un professionista che già presta la sua opera nell'ambito della lotta ai reati informatici (o cybercrime). 

Le attività di computer forensics sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura o supporto elettronico con capacità/potenzialità di memorizzazione dei dati (ad esempio smartphone, sistemi di domotica, stampanti, sistemi di navigazione, flash memory e in generale tutto ciò che contiene dati memorizzati). 

Requisiti richiesti:

Titoli preferibili:

• laurea in informatica; 
• ingegneria informatica; 
• ingegneria elettronica. 

Saranno prese in considerazione candidature con lauree in:

• matematica; 
• fisica. 

Saranno considerati titoli di merito:

• eventuali specializzazioni in Computer Forensics (corsi accademici); 
• corsi e certificazioni relativi alla Computer Forensics (corsi professionali). 

Capacità/Esperienze:
Al candidato sono richieste conoscenze approfondite a livello logico\architetturale (non solo sistemistico) relative a:

• Sicurezza logica dei sistemi informativi; 
• Architetture di rete; 
• Architetture dei sistemi informativi; 
• DBMS; 
• Sistemi operativi Unix\MS Windows\Apple Mac Osx\IOS\Android;
• cybercrime. 

In alternativa alla specializzazione in Computer Forensics si richiedono alternativamente:

• 4-5 anni di esperienza lavorativa nel campo della Computer Security;
• 4-5 anni di esperienza lavorativa nell'ambito dei team di computer forensics delle società di consulenza o big4.

Completa il profilo:

• ottima conoscenza dell’inglese parlato e scritto; 
• disponibilità a trasferte non solo in Italia; 
• flessibilità di orario.

Alla risorsa ricercata sarà attribuita la responsabilità di sviluppare e gestire un laboratorio informatico e di coordinare 2-3 professionisti junior.

I candidati possono inoltrare il CV aggiornato al seguente indirizzo di posta elettronica:

info.fraud.auditing@gmail.com

Frodi aziendali. Forensic accounting, fraud auditing & litigation

keep six honest serving-men (they taught me all I knew);

their names are What and Why and When and How and Where and Who.

L'incipit tratto da una famosa poesia di Rudyard Kipling, ben riassume lo spirito del libro "Frodi aziendali. Forensic accounting, fraud auditing e litigation", pubblicato nel luglio 2012 da Egea.

Cosa, Perché, Quando, Come, Dove, Chi. Sono termini semplici, qualunque. Ma per il fraud auditor codificano il campo d'azione e ne rappresentano il metodo. E' il repertorio base di chi è chiamato ad accertare il rispetto delle regole.

Ed è con il significato di fondo delle "Five Ws and one H" che gli autori, i professori Giuseppe Pogliani, Nicola Pecchiari e Marco Mariani, hanno voluto approcciare l'argomento.

Il libro è un vero e proprio manuale teorico-pratico strutturato con l'obiettivo di coniugare l'impostazione e le tematiche proprie della dottrina a quelle prettamente operative. Di descrivere, nei limiti del consentito, le più moderne tecniche investigative accanto alle più avanzate azioni preventive.

Il tutto condito dall'ampio ricorso ai casi aziendali, agli schemi di frode, ai grafici di flusso dell'illecito, tratti dai recenti scandali economico-finanziari e dall'esperienza professionale maturata nella lotta al cosiddetto "white collar crime".

Ma il volume, a mio avviso, non è solo un buon manuale utile allo studente come al professionista di esperienza.

E' anche una formidabile fonte di riflessione per chi vuole approcciare un fenomeno criminale endemico e generalizzato, soprattutto se lo si legge con un occhio ai fatti nostrani.

Questo aspetto è stato colto pienamente nella presentazione del testo curata da un fine studioso dei mercati finanziari illegali, quale il prof. Donato Masciandaro.

In uno Stato che si ritiene eticamente avanzato, le regole dovrebbero essere rispettate da ogni cittadino, a prescindere dall'intervento degli apparati investigativi e della Magistratura.

Ma il nostro sistema sembra essere ingabbiato in una evidente contraddizione. Se l'illecito economico-finanziario è considerato da molti come endemico, perché allora non si provvede a migliorare l'architettura legislativa in modo tale da rendere più incisiva l'azione preventiva e repressiva?

Naturalmente la domanda è più retorica che ingenua.

E per quanto tempo si dovrà ancora tollerare il fatto che un laureato in economia sia considerato idoneo a gestire situazioni aziendali complesse nonostante non abbia mai sentito parlare in termini scientifici di criminalità economica, se non in alcuni ristrettissimi ambiti accademici?

Evidentemente c'è ancora molto da fare, specialmente per impedire che il fenomeno illegale da "semplicemente" diffuso diventi strutturale del sistema economico-finanziario italiano.

A queste brevi riflessioni, accompagno di seguito qualche passaggio tratto della presentazione curata dal prof. Masciandaro.

"Frodi aziendali e finanziarie: da Enron a Madoff, cosa abbiamo imparato? 

Che è fondamentale studiare gli episodi di criminalità aziendale come percorso per capire se il mercato delle regole è ben funzionante. 

Il mercato delle regole: è una provocazione? A qualcuno potrà sembrare curioso, o addirittura scandaloso, accostare i due sostantivi. 

È uno scanda­lizzarsi che non deve meravigliare, in un Paese in cui la cultura del mercato è ancora priva di solide radici.

[...] In una società di mercato le regole sono il bene pubblico primario: non può esistere un sistema che consenta a ciascun individuo di provare a realizzare nel corso del tempo i propri obiettivi economici e finanziari senza un insieme di regole, condiviso e cogente.

Non può esistere mercato senza regole. [...] La frode economica e finanziaria diviene il termometro patologico di una cattiva architettura regolamentare. 

Dunque le regole sono l'asset indispensabile per uno sviluppo regolare dell'attività dei mercati. Di più: le regole come bene pubblico, di cui tutti possono fruire con reciproco beneficio senza dover pagare un prezzo correlato direttamente alla quantità consumata. 

[...] Cosa abbiamo imparato dagli episodi di frode? Una tesi molto in voga è stata quella della natura siste­mica delle crisi fraudolente, da contrastare con regole draconiane. Possiamo condividere questa impostazione, che porta a concludere che i comportamenti fraudolenti hanno oramai natura endemica? E, di conseguenza, che occorre sperare solo nella giustizia, vale a dire nell'apparato investigativo, inquirente e giudicante? 

Una simile tesi va respinta. 

Lo studio delle patologie - perché di questo si tratta - è di grande interesse, dovendo sempre avere il buon senso, prima di discutere dei massimi sistemi, di partire dai casi aziendali.

Cosa ci rivela l'analisi delle patologie? Usando una metafora, possiamo dire che, nell'economia di mercato, l'opportunismo, la temerarietà e la frode sono da sempre la moneta cattiva. Oggi come ieri esiste il rischio che tale cattiva moneta possa minacciare la moneta buona, rappresentata dagli scambi leali, responsabili e corretti. Ma esistono anche due potenti antidoti - regole e valori individuali - che possono essere efficaci, a patto che vengano somministrati con i corretti ingredienti e nelle giuste dosi.

[...] Opportunismo e temerarietà possono essere l'anticamera di condotte fraudolente vere e proprie. Ma di qui è corretto arrivare a concludere che oggi slealtà e frode sono divenute un tratto endemico del sistema economico e finanziario? Assolutamente no. Se si prova a trasformare gli episodi in dati, finora non sembra che l'evidenza empirica ci dica che oggi si è di fronte a una malattia di sistema, con la moneta cattiva che aumenta il suo peso relativo. Vero è che nell'analisi delle patologie non ci si può, né si deve, fermare ai dati emersi, perché i danni dei comportamenti sleali, temerari e illegali colpiscono non solo e non tanto i beni materiali quanto le dotazioni di quel bene - pubblico e intangibile - rappresentato dalla fiducia, che facilita proprio quello sviluppo degli scambi che i rischi di opportunismo, temerarietà e frode tendono a rallentare. 

Ma è proprio perché i mercati non possono esistere senza regole e fiducia e che si deve sottolineare come le società di mercato siano sempre riuscite - almeno finora - mediante errori e correzioni a superare le minacce della moneta cattiva, evitando che le patologie divenissero la fisiologia. La formula da applicare è chiara: correttezza e convenienza, pubblica e privata, sono due facce della stessa medaglia, se le regole sono disegnate e messe in atto in modo efficace. 

[...] se le regole sono mal concepite e/o applicate, quello che l'esperienza degli ultimi anni ci ha mostrato è che esiste un rischio sempre più alto che i cattivi esempi di gestione aziendale - dall'errore alla frode - possono causare il malfunzionamento di interi mercati, e per questa via danneggiare l'economia reale. La cattiva regolamentazione può divenire una tossina per la stabilità macroeconomica nel suo complesso. Valorizziamo perciò sempre di più lo studio delle patologie aziendali. 

[...] ancora troppo pochi si preoccupano di studiare i malati, anche per prevenire e curare eventuali epidemie, mentre ancora troppi preferiscono atteggiarsi a Savonarola dell'economia e del diritto, vaticinan­do mali incurabili e "pessime sorti e regressive" per l'economia di mercato".