Procurement intelligence del Security Manager e D.Lgs. 231/2001

Ultimo appuntamento della serie dedicata al rapporto tra Sistema 231 e Security Management.

Dopo aver esplorato il ruolo del Professionista della Security e la relazione con l’Organismo di Vigilanza, l’integrazione tra la funzione Security, la normativa sulla salute e sicurezza nei luoghi di lavoro (D.Lgs. 81/2008) e l’efficacia esimente del Modello 231, il presente contributo si concentra sulle implicazioni tra compliance ai sensi del D.Lgs. 231/2001 e il ruolo del Security Manager nell’attività di due diligence su fornitori, subappaltatori, associati ai sensi del codice dei contratti pubblici e operatori economici mandanti o mandatari e, in generale e onnicomprensiva, su tutti gli interlocutori esterni all’impresa/ente.

Indice

1. Due Diligence e prevenzione delle fattispecie di reato presupposto
2. Procurement Intelligence e Risk management del Professionista della Security: prevenire le criticità e produrre sicurezza
3. Conclusioni: adempimento del dovere di diligenza e ruolo del Professionista della Security

1. Procurement e prevenzione delle fattispecie di reato presupposto

In ogni ambito dell’attività d’impresa, affinché il Modello 231 possa esplicare la sua efficacia esimente, esso deve individuare le aree di attività e i processi in cui possono essere commessi i reati presupposto (identificazione, analisi e valutazione del rischio ai sensi della norma ISO 31000:2018), prevedere misure di trattamento del rischio da reato, obblighi di informazione nei confronti dell’Organismo di Vigilanza e dei portatori di interesse interni ed esterni (comunicazione e consultazione), di feedback alla direzione e di presidio costante dei rischi (monitoraggio continuo e definizione di azioni di miglioramento).

L’attuazione dei processi di cui sopra assume particolare importanza nell’ambito della prevenzione delle fattispecie di reato di cui agli artt. 24, 25 e seguenti del D.Lgs. 231/2001, implementando un sistema di controllo interno a fronte di rischi criminosi quali la commissione di delitti di criminalità organizzata, corruzione e concussione in ambito pubblico (appalti, concessioni, partnership pubblico-privato, ecc.) e corruzione tra privati,  reati societari,  indebita percezione di erogazioni pubbliche, truffa e frode a danno dello Stato, reati ambientali, delitti informatici e trattamento illecito di dati, delitti contro l’industria e il commercio, abusi di mercato, delitti contro la libertà della persona, ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, autoriciclaggio, contrabbando, impiego di manodopera di paesi terzi irregolare, pratiche discriminatorie giuridicamente censurabili, ecc.

È dunque dovere delle imprese quello di selezionare e qualificare fornitori e partner che garantiscano non solo affidabilità ed efficienza in relazione agli interessi dell’impresa e agli obblighi contrattuali assunti, ma anche che offrano adeguate garanzie di legalità e compliance.

In questa attività di due diligence, la funzione Procurement (o Acquisti) dell’impresa è quantomai opportuno si avvalga del Professionista della Security, in quanto figura specializzata e con idonee competenze in merito alle valutazioni da operare in via preventiva alla stipula dei contratti con interlocutori esterni all’impresa.

2. Procurement Intelligence e Risk management del Professionista della Security: prevenire le criticità e produrre sicurezza

L’azione del Manager della Security è definibile come attività di Intelligence, in quanto consistente nella raccolta di dati, nell’attribuzione alle informazioni reperite di un valore di attendibilità e di provenienza da fonti classificate come affidabili, alla relativa analisi approfondita e allo sviluppo di una valutazione inferenziale, che si traduce nella formulazione di un report sintetico da divulgare ai decisori dell’organizzazione con l’obiettivo di essere di supporto al processo decisionale, nel caso di specie, a quello di instaurare un rapporto commerciale con un’altra azienda.

Del resto, proprio la norma UNI 10459:2017, trattando di responsabilità e competenze, compiti e conoscenze del Professionista della Security, prevede espressamente un complesso di attività e adempimenti propriamente afferenti ai processi che caratterizzano l’attività di Intelligence, in quanto presupposti afferenti alla legalità, alla difesa dell’azienda e, nel complesso, al creare uno status privo di eventi spiacevoli e pregiudizievoli o comunque teso a ridurre il verificarsi di tali situazioni.

Condizione questa auspicata in ogni ambiente pubblico e privato, in quanto valore e vantaggio per il conseguimento di un obiettivo, nel caso specifico per la tutela del business e del risultato prefissato d’impresa, che si raggiungono anche e soprattutto con la prevenzione delle criticità, applicando processi atti a produrre sicurezza e a debellare eventi non desiderati, tramite la conoscenza anticipatoria e, appunto, l’Intelligence.

Nell’adempimento dei controlli di selezione e qualificazione di competenza della funzione Security, condotti nel rispetto della normativa vigente, inclusa quella sulla protezione dei dati personali, si citano pertanto le seguenti specifiche attività, inquadrabili con i termini Procurement Intelligence e Procurement Risk management:

• Analisi del contesto geografico e socio-economico in cui è stabilito e opera il soggetto oggetto di verifica, al fine di individuare eventuali sintomatologie di interesse quali, ad esempio, collusioni con la criminalità locale comune e organizzata, modalità di reperimento della manodopera, profilo delle risorse umane impiegate, adempimento agli obblighi giuslavoristici e previdenziali, presenza di minacce e criticità impattanti sulla supply chain, ecc.;

• Accertamenti in materia antimafia ai sensi del D.Lgs. 159/2011 sia documentali, quali l’iscrizione alla White List presso la Prefettura territorialmente competente, che fattuali e comportamentali in merito alla presenza di indizi in base ai quali possa ritenersi l’esistenza di collegamenti o condizionamenti da parte della criminalità organizzata, ad esempio mediante analisi del contesto di mercato, territoriale e politico-amministrativo in cui opera l’azienda in corso di verifica, l’individuazione dei suoi abituali partner commerciali, ecc.;

• Attività OSINT (intelligence da fonti aperte), SOCMINT (intelligence da social media) e ove legittimamente possibile e proporzionato, HUMINT (intelligence diretta da fonti umane, quali ad esempio altri partner commerciali e clienti) circa attività sintomatiche quali operazioni societarie sospette, affitti o cessioni di rami d’azienda, aumenti di capitale anomali, compravendite sottocosto o con valori anomali, ecc.

• Due diligence reputazionale sull’impresa e sulle sue funzioni apicali, mediante le succitate attività di intelligence e fonti informative legittime;

• Due diligence commerciale mediante pubblici registri (es. certificati camerali, atti pubblici) per verificare la legittimità dell’attività commerciale (iscrizione alla CCIAA competente, partita IVA, quotazione sui mercati regolamentati) e mediante fonti aperte circa indagini giudiziarie in corso, condanne e altri provvedimenti sanzionatori rilevanti;

• Richiesta di produzione del casellario giudiziale e dei carichi pendenti da parte del legale rappresentante, membri del Consiglio di Amministrazione e direttori tecnici. Si rammenta al riguardo che la mancata produzione degli atti in oggetto – non essendo generalmente consentito il rilascio da parte della Procura della Repubblica competente se non al diretto interessato – può essere un elemento di valutazione nel complesso della due diligence, così come la produzione di tali atti riportanti “nulla” e “negativo”, non esime di per sé dalle attività di approfondimento di cui alla presente trattazione, sia in quanto per determinati reati e circostanze specifiche può essere previsto il beneficio della non menzione ai sensi dell’art. 175 c.p., sia perché l’assenza di imputazioni e condanne non conferisce di per sé la garanzia di qualificata probabilità di affidabilità;

• Due diligence in materia di anticorruzione, attività in cui rileva il possesso della certificazione ISO 37001:2016 o comunque l’evidenza delle attività elencate nell’Allegato A della citata norma;

• Attività di Intelligence per verificare l’assenza di non conformità, l’affidabilità e puntualità nell’esecuzione dei contratti di fornitura, somministrazione, compravendita e subappalto;

• Attività di Intelligence circa la commissione da parte del soggetto in verifica di condotte anticoncorrenziali sul mercato, fraudolente e di infedeltà nei confronti della clientela;

• Verifica, nei casi in cui ciò è prescritto, del possesso di autorizzazioni quali il Nulla Osta di Sicurezza Industriale (NOSI) rilasciato dall’Ufficio Centrale per la Segretezza del Dipartimento delle Informazioni per la Sicurezza, necessario per eseguire lavori, fornire beni e servizi, realizzare opere, studi e progettazioni in contesti classificati ai sensi della Legge 124/2007;

• Verifica circa l’osservanza e l’applicazione degli standard in materia di Business continuity e Crisis Management (rif. ISO 22301:2019 e ISO 22361:2022).

L’attività di Intelligence del Professionista della Security, condivisa con la Direzione con apposito reporting e feedback nonché con le funzioni aziendali preposte e, in particolare, con le funzioni Procurement e Legale e Compliance, è parte integrante del complesso del sistema di selezione e qualificazione che riguarda altresì:

• il possesso del Rating di Legalità rilasciato dall’Autorità Garante della Concorrenza e del Mercato;

• l’osservanza delle norme in materia di sicurezza sul lavoro, con coinvolgimento diretto del RSPP e l’eventuale verifica del possesso della certificazione ISO 45001:2018;

• l’osservanza delle norme in materia di responsabilità sociale e parità di genere, compreso l’eventuale possesso delle certificazioni SA 8000:2014 o PAS 24000:2022 (quest’ultima prevede peraltro un requisito specifico relativo all’etica aziendale direttamente collegato con l’adozione del Modello 231) e UNI PdR 125:2022 se ritenute necessarie;

• la presenza e applicazione di un sistema di gestione della Qualità ISO 9001:2015 e di gestione ambientale ISO 14001:2015, compresa la valutazione dei relativi piani;

• la gestione della sicurezza delle informazioni e della cybersicurezza ai sensi della norma ISO 27001:2022 e seguenti (ISO 27002, ISO 27017, ISO 27018), della compliance alla recente direttiva NIS2, laddove applicabile, e alle linee guida e provvedimenti dell’ACN (Autorità per Cybersicurezza Nazionale), con coinvolgimento diretto del Security Manager unitamente allo specialista aziendale in materia ICT e cybersecurity (Manager ICT, Information Security Officer);

• l’osservanza del GDPR (Regolamento UE 2016/679) con sinergica verifica del Manager della Security e del Responsabile del Trattamento ex artt. 4 e 28 GDPR e/o del Responsabile della Protezione Dati (o DPO) ex art. 39 GDPR;

• la presenza di procedure concrete ed effettive nell’ambito della supply chain, certificate o comunque conformi rispetto alla norma ISO 28000:2022;
• la presenza di certificazioni di prodotto o di sistema specifiche per determinate attività oggetto di interesse al fine della selezione, quali ad esempio EMAS, Ecolabel UE o equivalenti, standard e qualificazioni di natura tecnica, tecnologica o di gestione (a titolo esemplificativo, ISO 39001 per i trasporti su strada e autorizzazione ADR per il trasporto di merci pericolose, categorie e classifiche SOA per l’esecuzione di lavori pubblici, UNI EN ISO 16763 per installazione di sistemi di sicurezza antincendio e di sicurezza, CEI 11-27 per manutentori e installatori di impianti, ecc.).

3. Conclusioni: adempimento del dovere di diligenza e ruolo del Professionista della Security

La due diligence effettuata dalla funzione Security, preferibilmente certificata UNI 10459:2017, con oggettività e autonomia, svolta in osservanza delle normative e standard di riferimento precedentemente citati, consente all’impresa di adempiere al dovere di diligenza in modo puntuale e completo e permette di conseguire i seguenti benefici:

• certezza di affidabilità nell’esecuzione dei contratti, rispetto dei timing contrattuali, SLA e KPI;

• abbattimento degli oneri connessi a controversie civili, penali e amministrative e altresì dei costi assicurativi e cauzionali laddove previsti in merito al contratto principale di cui è parte l’impresa committente;

• garanzia di complessiva affidabilità del sistema di procurement, della business continuity e dell’eventuale crisis management;

• abbattimento/riduzione dei rischi reputazionali connessi alla partnership con fornitori, subappaltatori e nell’ambito dell’appartenenza a raggruppamenti temporanei, consorzi e altre realtà imprenditoriali di carattere associativo;

• compliance rispetto al Modello 231 a fronte dei rischi di commissione di reati presupposto di cui al D.Lgs. 231/2001.

Con riferimento all’oggetto della presente trattazione, il contributo del Professionista della Security all’applicazione e osservanza del Modello di Organizzazione e Gestione costituisce elemento fondante e potenzialmente imprescindibile di presidio della legalità, strategico, tattico e operativo, con rilevanza ai fini del giudizio sull’efficacia esimente a fronte di reati presupposto inerenti alla catena di fornitura e, nel complesso, in materia di rapporti imprenditoriali con soggetti esterni operanti sul mercato. Questo contributo conclude una panoramica approfondita sull’importanza strategica della funzione Security in ambito aziendale, evidenziando la necessità di una valutazione completa dei rischi, compresi quelli atipici, per garantire l’efficacia esimente del Modello 231.

A cura di

Adamo Brunetti e Stefano Bassi

Estratto curricolare dell’autore

STEFANO BASSI

Laurea Magistrale in Giurisprudenza, Master’s Degree in Scienze della Difesa e della Sicurezza, Master universitario “Manager della Security”.

Certificato Professionista della Security UNI 10459:2017 (credenziale ICMQ n° 25-00890).

Iscritto ad AIPSA – Associazione Italiana Professionisti della Security Aziendale.

Vanta 20 anni di esperienza in materia di Security in contesti di media e alta complessità.

Si è occupato di analisi sociale, geopolitica e dei fenomeni criminosi, Travel Risk Management e difesa di siti produttivi per cantieri e attività commerciali in Italia, Est Europa e Africa occidentale, di coordinamento tattico e operativo di filiale in Romania, project management e compliance. Ha ricoperto il ruolo di Responsabile Affari Legali e Appalti presso impresa del settore delle costruzioni infrastrutturali e di protezione civile e, successivamente, di Project Manager d’Area Security, Safety e Facility Management presso un’importante Società multiservizi in ambito sanitario e istituzionale.

Ha quindi svolto la funzione di responsabile Security, Affari legali e Risorse Umane presso Società di servizi e progettazione nell’ambito dei contratti pubblici. Attualmente Manager della Security e Senior Security Project Manager nell’ambito dei servizi pubblici presso infrastrutture critiche e obiettivi sensibili (Aziende Ospedaliere, aeroporti e porti, stazioni e reti ferroviarie, Università, caserme e installazioni militari e di Pubblica Sicurezza, Ministeri e altre Amministrazioni Pubbliche) e dei servizi privati in grandi contesti industriali e poli logistici.

Ha svolto attività accademica in materia di diritto dell’Unione europea e diritto internazionale, dedicandosi in particolare a tematiche inerenti geopolitica e contratti pubblici, difesa strategica militare e sicurezza comune, missioni militari nell’ambito delle Nazioni Unite e della NATO, Intelligence e cooperazione polizia giudiziaria.

Ha servito nell’Arma dei Carabinieri ed è attualmente attivo in qualità di socio effettivo presso l’Associazione Nazionale Carabinieri, Sezione di Parma.

A cura di

Adamo Brunetti e Stefano Bassi

Estratto curricolare dell’autore

STEFANO BASSI

Laurea Magistrale in Giurisprudenza, Master’s Degree in Scienze della Difesa e della Sicurezza, Master universitario “Manager della Security”.

Certificato Professionista della Security UNI 10459:2017 (credenziale ICMQ n° 25-00890).

Iscritto ad AIPSA – Associazione Italiana Professionisti della Security Aziendale.

Vanta 20 anni di esperienza in materia di Security in contesti di media e alta complessità.

Si è occupato di analisi sociale, geopolitica e dei fenomeni criminosi, Travel Risk Management e difesa di siti produttivi per cantieri e attività commerciali in Italia, Est Europa e Africa occidentale, di coordinamento tattico e operativo di filiale in Romania, project management e compliance. Ha ricoperto il ruolo di Responsabile Affari Legali e Appalti presso impresa del settore delle costruzioni infrastrutturali e di protezione civile e, successivamente, di Project Manager d’Area Security, Safety e Facility Management presso un’importante Società multiservizi in ambito sanitario e istituzionale.

Ha quindi svolto la funzione di responsabile Security, Affari legali e Risorse Umane presso Società di servizi e progettazione nell’ambito dei contratti pubblici. Attualmente Manager della Security e Senior Security Project Manager nell’ambito dei servizi pubblici presso infrastrutture critiche e obiettivi sensibili (Aziende Ospedaliere, aeroporti e porti, stazioni e reti ferroviarie, Università, caserme e installazioni militari e di Pubblica Sicurezza, Ministeri e altre Amministrazioni Pubbliche) e dei servizi privati in grandi contesti industriali e poli logistici.

Ha svolto attività accademica in materia di diritto dell’Unione europea e diritto internazionale, dedicandosi in particolare a tematiche inerenti geopolitica e contratti pubblici, difesa strategica militare e sicurezza comune, missioni militari nell’ambito delle Nazioni Unite e della NATO, Intelligence e cooperazione polizia giudiziaria. Ha servito nell’Arma dei Carabinieri ed è attualmente attivo in qualità di socio effettivo presso l’Associazione Nazionale Carabinieri, Sezione di Parma.