Indice

1. Una serie in quattro parti: inquadramento generale
2. La funzione Security come presidio aziendale strategico
3. Competenze e strumenti del Professionista della Security
4. La convergenza tra Modello 231 e Risk Management
5. Conclusione: il valore integrato della Security in azienda

1. Una serie in tre parti: inquadramento generale

Il presente articolo è il primo di una serie di quattro contributi che approfondiranno il legame tra Modello 231 e funzione Security.

In questo primo focus si delineano le interconnessioni strategiche tra Security Management e Compliance 231, evidenziando come la figura certificata del Professionista della Security, se ben integrata, possa rafforzare la cultura della prevenzione, contribuire alla tenuta esimente del modello e rendere l’impresa più resiliente, sicura e attrattiva.

Nel secondo contributo, invece, si approfondiranno i rapporti tra Organismo di Vigilanza  e Security Management.

Nel terzo l’attenzione sarà prestata alla tematica della correlazione tra Sistema 231 e Security nel contesto della sicurezza sul lavoro; mentre nell’ultimo è riservato un approfondimento in merito alle procedure di qualificazione di fornitori, subappaltatori e partner commerciali in una visione integrata tra compliance 231 e Security aziendale.

2. La funzione Security come presidio aziendale strategico

L’avvalersi di un Professionista della Security certificato UNI 10459:2017 rappresenta senza dubbio circostanza che può contribuire significativamente all’efficacia del Modello di Organizzazione e Gestione e, di conseguenza, al potenziale riconoscimento dell’esimente a fronte di responsabilità da reato presupposto. Il tutto ferma restando l’osservanza di quanto previsto all’art. 6 del D.Lgs. 231/2001.

La Security aziendale manifesta, invero, un approccio globale alla tematica della sicurezza, in quanto tratta rischi derivanti da attività criminose, rischi di natura geopolitica e rischi sociali, rischi legali e reputazionali, che possono arrecare danno a persone facenti parte dell’organizzazione, clienti/utenti e fornitori della stessa, al patrimonio aziendale, all’immagine e alla credibilità e, complessivamente, al business.

Si tratta di una funzione che si concentra, pertanto, sulla prevenzione e sul contrasto di atti deliberati o comunque non meramente accidentali, di azioni operate da un individuo, o da più individui, che possono, e spesso vogliono più o meno consapevolmente, nuocere ad altri comportando danni alla persona (fisici e/o psicologici) e/o patrimoniali.

Tra le competenze della funzione sono infatti annoverate la protezione e la tutela del personale aziendale da rischi esogeni (aggressioni, molestie, sequestri e attentati, lesioni, ecc.), la protezione del patrimonio materiale e immateriale da danni diretti, indiretti e consequenziali (furto, rapina e altri reati contro il patrimonio, compromissione delle catene di fornitura, sottrazione e violazione di informazioni, ecc.), la prevenzione e il contrasto a condotte e pratiche corruttive, la compliance normativa e la tutela della reputazione aziendale, la prevenzione del rischio legale, la promozione della sicurezza e della legalità condivise e partecipate da parte di tutti i lavoratori, l’attività di due diligence, i controlli e investigazioni interne al fine della prevenzione e protezione da rischi endogeni derivanti da condotte, frodi e infedeltà dei dipendenti e prestatori d’opera, ecc.

Evidente da subito è dunque il ricorrere, nell’ambito di competenza della Security, di numerosi comportamenti antigiuridici riconducibili anche ai reati presupposto di cui al D.Lgs. 231/2001, così come alla violazione del Codice Etico e del Regolamento Disciplinare interno di un ente.

3. Competenze e strumenti del Professionista della Security

Il Professionista della Security si concentra pertanto sul complesso del patrimonio aziendale, umano, materiale e immateriale, sui rapporti e processi interni all’organizzazione e su quelli esterni nel mercato e nei contesti di operatività aziendale anche su base geografica e territoriale, adottando pratiche normate di gestione del rischio, consistenti in attività di valutazione, adozione di misure di trattamento del rischio fisiche, procedurali, tecnologiche e logiche per proteggere il business, tutelare e implementare il valore dell’azienda e garantire la continuità operativa.

Tale figura, normata in Italia a livello UNI dal 1995, a differenza che in altri Paesi del panorama europeo e internazionale in cui rappresenta una professionalità di profilo manageriale all’interno di aziende pubbliche e private da numerosi decenni, in Italia è ancora relativamente poco conosciuta se non in ambiti specifici quali quelli della vigilanza privata, degli aeroporti, porti, ferrovie, reti energetiche e di telecomunicazione.

La Legge Regionale Friuli Venezia Giulia 3 marzo 2023 n. 10 ha tuttavia recentemente previsto esplicitamente per le infrastrutture critiche regionali l’obbligo di dotarsi della figura del Manager della Security, conforme alla norma UNI 10459 e debitamente certificato, al fine di attuare una gestione integrata di tutti i rischi di natura dolosa, colposa e accidentale.

Il fatto che all’art. 52 della Legge regionale vi sia un esplicito riferimento a questo profilo professionale, incaricato di condurre le analisi di rischio e di predisporre le misure di messa sotto controllo di ogni minaccia criminosa e antigiuridica, dimostra come il nostro Paese, grazie all’iniziativa friulana, stia progressivamente comprendendo il valore di questa funzione. Resta inteso che, in assenza di norme cogenti e a prescindere dall’inquadramento nell’ambito delle infrastrutture critiche, è comunque altamente consigliato ad ogni azienda di prevedere in organico o comunque di avvalersi della figura di che trattasi, anche in relazione alle responsabilità civili, penali e amministrative gravanti su impresa e figure apicali, dimostrandosi in tal modo proattive, attente alle tematiche di Security interne ed esterne, tendenti all’eccellenza organizzativa e gestionale e quindi risultando più sicure e maggiormente attrattive sul mercato.

Un’azienda sicura e compliant, che si adatta e rispetta leggi, regolamenti, norme e standard pertinenti alle sue attività, è un’azienda attrattiva e attraente e il Professionista della Security è in questo ambito presidio di legalità e punto di riferimento operativo, tattico e strategico per la sicurezza anticrimine per l’azienda stessa e per la sua utenza, vale a dire per i suoi clienti, nonché per tutti i soggetti inquadrabili come portatori di interesse (o stakeholders) pubblici e privati.

La presenza del Professionista della Security unitamente a quella di un Modello 231 performante, attuale, aggiornato e pertanto efficace, contribuisce in maniera significativa a creare un ambiente improntato alla legalità e caratterizzato da valori etici, morali e professionali.

Interessante, anche a conferma della stretta sinergia che deve sussistere tra la funzione Legale e Compliance dell’azienda, l’Organismo di Vigilanza e il Security Manager, è il parallelismo tra un Modello 231 con effettiva efficacia esimente e la norma ISO 31000:2018 “Risk management – Principles and guidelines”, standard cardine delle attività effettuate dal Professionista della Security aziendale.

4. La convergenza tra Modello 231 e Risk Management

Tra le funzioni alle quali deve assolvere il Modello 231 vi è quella di individuare le attività aziendali nel cui ambito possono essere commessi i reati presupposto, attività di identificazione che coincide con quella effettuata dal Manager della Security nell’ambito del Risk assessment.

Non solo, ma lo stesso deve poi prevedere specifici presidi di controllo per prevenire la commissione dei reati, misura che coincide con l’attività di trattamento del rischio (Risk treatment) di cui alla norma ISO 31000.

Ancora, il Modello 231 deve contemplare obblighi di informazione nei confronti dell’Organismo di Vigilanza, il che si traduce, in chiave di Risk management, nell’attività di comunicazione e consultazione costante prevista dallo standard ISO.

Il Modello 231, infine, deve essere in grado di consentire, mediante un’attività di controllo continuo, di intervenire tempestivamente per prevenire e fronteggiare la commissione di reati, azione che coincide con il monitoraggio e la revisione costanti previsti dalla normativa ISO 31000 nonché, in più ampia lettura, nel ciclo di Deming (Plan-Do-Check-Act) che ispira l’intera normazione unificata, a partire dallo standard di gestione della qualità ISO 9001.

Invero, in oltre due decenni da quando fu introdotto per la prima volta nell’ambito della disciplina della responsabilità amministrativa degli enti ex art. 8 D.Lgs. 231/2001, il Modello 231, da mero strumento difensivo da invocare in caso di procedimenti penali che coinvolgono, oltre che gli autori del reato, si è evoluto a strumento di governance, controllo e miglioramento continuo che coinvolge attivamente le diverse figure del management, tra le quali debbono auspicabilmente annoverarsi il Manager della Security e la funzione Legale e Compliance, anche in osservanza del novellato disposto dell’art. 2086 c.c. per effetto del D.Lgs. 14/2019.

In quanto strumento di valore olistico nell’ambito aziendale, come anche ribadito con assoluto rigore dalla giurisprudenza, il Modello di Organizzazione e Controllo deve essere necessariamente concreto e contestualizzato, non dunque astratto e meramente programmatico, così come l’attività di Risk management condotta dalla funzione Security deve essere parimenti calibrata e calata sul contesto specifico aziendale e delle attività effettivamente svolte dall’azienda. 

In questo quadro, il Security management ha un suo e proprio ruolo fondamentale di prevenzione dei rischi d’impresa e di corporate responsibility, anche in funzione della prevenzione delle criticità e dei reati di cui al D.Lgs. 231/2001, della pronta rilevazione di segnali deboli ed early warnings in relazione alle aree sensibili secondo il Modello 231, della gestione della continuità operativa e, nel complesso, della salvaguardia del business.

5. Conclusione: il valore integrato della Security in azienda

Il primo dei tre contributi ha evidenziato come il Modello 231 e la funzione Security aziendale possano e debbano operare in sinergia, costituendo un presidio strategico e trasversale a supporto della legalità, della tutela reputazionale e della resilienza organizzativa. L’integrazione tra approccio risk-based, cultura della compliance e gestione proattiva della sicurezza rappresenta oggi un vantaggio competitivo per le imprese, che non solo intendono proteggere il proprio patrimonio e le proprie persone, ma anche garantirsi un posizionamento solido e sostenibile nel contesto normativo ed economico contemporaneo. Il prossimo articolo approfondirà le relazioni operative e le distinzioni tra Organismo di Vigilanza e Security Manager, anche alla luce delle responsabilità civili e penali connesse ai rispettivi ruoli.

A cura di
Adamo Brunetti e Stefano Bassi

Estratto curricolare dell’autore
STEFANO BASSI

Laurea Magistrale in Giurisprudenza, Master’s Degree in Scienze della Difesa e della Sicurezza, Master universitario “Manager della Security”.

Certificato Professionista della Security UNI 10459:2017 (credenziale ICMQ n° 25-00890).

Iscritto ad AIPSA – Associazione Italiana Professionisti della Security Aziendale.

Vanta 20 anni di esperienza in materia di Security in contesti di media e alta complessità.

Si è occupato di analisi sociale, geopolitica e dei fenomeni criminosi, Travel Risk Management e difesa di siti produttivi per cantieri e attività commerciali in Italia, Est Europa e Africa occidentale, di coordinamento tattico e operativo di filiale in Romania, project management e compliance. Ha ricoperto il ruolo di Responsabile Affari Legali e Appalti presso impresa del settore delle costruzioni infrastrutturali e di protezione civile e, successivamente, di Project Manager d’Area Security, Safety e Facility Management presso un’importante Società multiservizi in ambito sanitario e istituzionale.

Ha quindi svolto la funzione di responsabile Security, Affari legali e Risorse Umane presso Società di servizi e progettazione nell’ambito dei contratti pubblici. Attualmente Manager della Security e Senior Security Project Manager nell’ambito dei servizi pubblici presso infrastrutture critiche e obiettivi sensibili (Aziende Ospedaliere, aeroporti e porti, stazioni e reti ferroviarie, Università, caserme e installazioni militari e di Pubblica Sicurezza, Ministeri e altre Amministrazioni Pubbliche) e dei servizi privati in grandi contesti industriali e poli logistici.

Ha svolto attività accademica in materia di diritto dell’Unione europea e diritto internazionale, dedicandosi in particolare a tematiche inerenti geopolitica e contratti pubblici, difesa strategica militare e sicurezza comune, missioni militari nell’ambito delle Nazioni Unite e della NATO, Intelligence e cooperazione polizia giudiziaria.

Ha servito nell’Arma dei Carabinieri ed è attualmente attivo in qualità di socio effettivo presso l’Associazione Nazionale Carabinieri, Sezione di Parma.