«Scusi, ancora un'ultima cosa…» — Il Tenente Colombo e la Due Diligence ISO 37001

 ISO 37001 · Anti-corruzione · Due Diligence

Quando il detective più sgualcito della televisione incontra il processo di verifica anti-corruzione più rigoroso della normativa internazionale. Con buona pace dei fornitori distratti.

C'è una scena che si ripete invariabilmente in ogni episodio di Colombo. Il Tenente — impermeabile unto, sigaro spento in mano, occhi da cagnolino "basset hound" — si avvia verso l'uscita. Il sospettato tira un sospiro di sollievo. E poi, con la naturalezza di chi ha dimenticato le chiavi di casa:

COLOMBO: «Scusi... ancora una cosa sola. Probabilmente non ha nessuna importanza...»

DIRIGENTE: (irrigidendosi) «Certo, prego.»

COLOMBO: «Quella fattura da 380.000 euro intestata a una società delle Cayman Islands... a quale prestazione si riferisce esattamente?»

È in quel preciso momento che nasce la due diligence anti-corruzione come arte. E la ISO 37001:2016 — la norma internazionale sui sistemi di gestione anti-corruzione — ne ha fatto un metodo.

Cos'è la due diligence anti-bribery e perché la norma la pretende

La ISO 37001 non è un codice etico da appendere in bacheca accanto al calendario dell'Avvento. È un sistema di gestione strutturato che richiede — tra le altre cose — che l'organizzazione conosca davvero con chi fa affari, prima di farci affari.

📋 Riferimento normativo — ISO 37001:2016

Il punto 8.2 (Due diligence) stabilisce che l'organizzazione deve adottare procedure di due diligence proporzionate al rischio di corruzione per le transazioni, i progetti, le attività, i business partner e il personale. Il punto 4.5 richiede la valutazione dei rischi di corruzione specifici del contesto dell'organizzazione. Il punto 6.1 impone l'identificazione e la valutazione dei rischi con trattamento proporzionato.

In sostanza: non basta non corrompere. Occorre dimostrare attivamente di aver fatto tutto il ragionevole possibile per evitare che la corruzione avvenga — anche attraverso terzi, intermediari, fornitori, agenti, joint venture partner. Ecco dove entra in scena Colombo.

Il Metodo Colombo applicato alla due diligence: fase per fase

1. La domanda innocente (raccolta documentale)

Colombo non accusa mai. Chiede. Con l'aria di chi non capisce bene, di chi ha bisogno che gli si spieghi — una seconda volta, con più dettaglio — cosa c'è scritto su quel documento.

🔍 Applicazione pratica

In fase di due diligence ISO 37001, la raccolta documentale segue la stessa logica non aggressiva ma inesorabile. Si richiedono: visure camerali, organigrammi, bilanci degli ultimi tre esercizi, elenco di soci e UBO (Ultimate Beneficial Owner), referenze commerciali, eventuali procedimenti giudiziari in corso. Senza accusare. Senza allertare. Verificando.

COLOMBO: «Guardi, probabilmente sarà tutto in ordine... ma mi aiuterebbe tanto se potesse dirmi chi è l'effettivo proprietario di questa società. Così, per capire.»

AVVOCATO DEL FORNITORE: «È... una holding lussemburghese.»

COLOMBO: «Ah, capisco. E la holding lussemburghese è di chi?»

AVVOCATO DEL FORNITORE: «Di un fondo delle Cayman.»

COLOMBO: (annuisce lentamente, scrive qualcosa) «Certo, certo. E il fondo delle Cayman...»

Questo — nella realtà normativa — si chiama identificazione dell'UBO ed è uno degli elementi centrali della due diligence anti-corruzione. La IV Direttiva Antiriciclaggio (recepita in Italia con D.Lgs. 231/2007 e ss.mm.ii.) impone la verifica dell'effettivo beneficiario economico fino a risalire alla persona fisica. La ISO 37001 la presuppone come buona pratica proporzionata al rischio.

2. L'impermeabile e la proporzionalità del rischio

Colombo non usa lo stesso approccio per tutti i casi. Con la vicina che ha rubato le begonie usa il buon senso. Con l'imprenditore che ha fatto sparire il socio usa... ben altro. La ISO 37001 chiama questo principio proporzionalità.

📋 Riferimento normativo — ISO 37001:2016, punto 8.2

La norma specifica che le procedure di due diligence devono essere «commisurate alla natura e all'entità dei rischi di corruzione». Un fornitore di cancelleria per un importo annuo di 2.000 euro non richiede lo stesso livello di analisi di un agente commerciale operante in un paese con indice di percezione della corruzione (CPI) sotto 40, con contratto pluriennale da milioni di euro.

🛠️ Strumento: Matrice di rischio del business partner

Una matrice efficace considera: settore merceologico, paese di operatività (cfr. Transparency International CPI), tipo di relazione contrattuale, importo della transazione, prossimità con pubblici ufficiali, struttura proprietaria. Il risultato classifica il partner come Basso / Medio / Alto rischio e determina la profondità della due diligence richiesta.

3. «Una cosetta che non mi torna» — le red flag

Il fiuto di Colombo per le incongruenze è leggendario. Nulla sfugge: una nota spese fuori posto, un alibi troppo preciso, un testimone troppo loquace. Nella due diligence ISO 37001 queste incongruenze si chiamano red flag — segnali d'allarme che impongono di approfondire, sospendere o interrompere la relazione commerciale.

Red flag rilevata	Cosa direbbe Colombo	Cosa prevede ISO 37001
Richiesta di pagamento a terzi non identificati	«Strano che voglia i soldi su un conto intestato a suo cugino...»	Stop alla transazione, escalation all'ABCO (punto 8.2, 8.7)
Commissioni sproporzionate rispetto al servizio	«20% su un contratto da 5 milioni solo per "facilitare"... capisco, capisco»	Verifica approfondita, documentazione della giustificazione economica (punto 8.5)
UBO non identificabile o opaco	«Chi è davvero il proprietario? Ancora non ho capito bene...»	Rifiuto o sospensione della relazione (punto 8.2)
Precedenti penali o procedimenti in corso	«Ah, quella condanna del 2019... sicuramente non ha importanza»	Valutazione del rischio residuo, decisione documentata dell'organo di governo (punto 5.3)
Reputazione negativa su fonti aperte	«Ho visto che i giornali ne parlano spesso... in modo non lusinghiero»	OSINT check (raccolta e analisi informazioni pubbliche) obbligatorio per profili ad alto rischio (punto 8.2)

4. Il sigaro spento e la tracciabilità documentale

Una cosa che Colombo fa sempre — e che molti non notano — è prendere appunti. Su un taccuino stropicciato, su un tovagliolo, sul retro di una busta. Ogni conversazione, ogni incongruenza, ogni «ancora una cosa» viene registrata. Perché senza traccia, non c'è indagine. E senza indagine, non c'è condanna.

⚠️ Attenzione — Requisito critico

La ISO 37001 al punto 7.5 (Informazioni documentate) richiede che tutte le attività del sistema di gestione anti-corruzione siano documentate e conservate in modo da dimostrarne l'attuazione. Una due diligence condotta ma non documentata, agli occhi di un auditor o di un'autorità giudiziaria, non è mai stata condotta. La logica è identica a quella forense: si prova ciò che si documenta.

COLOMBO: «Sa, mi aiuterebbe molto avere per iscritto quella sua valutazione del fornitore. Con data, firma e gli allegati citati.»

DIRIGENTE: «Ma l'avevamo fatto verbalmente, a voce, in riunione...»

COLOMBO: (sorridendo con disarmante innocenza) «Già. Purtroppo le voci evaporano. I documenti no.»

5. La rivelazione finale: il report di due diligence

Nell'episodio finale, Colombo riunisce tutti i fili e li presenta in modo impeccabile: chi, cosa, quando, come, perché. Nessuna lacuna. Nessun salto logico. Il report di due diligence anti-corruzione deve avere esattamente la stessa struttura.

📄 Struttura minima di un report di due diligence ISO 37001

1. Identificazione del business partner (ragione sociale, sede, UBO)

2. Classificazione del rischio (matrice applicata)

3. Documentazione raccolta e verificata

4. Esito delle verifiche su fonti aperte (OSINT, liste di sanzioni, PEP)

5. Red flag identificate e relative valutazioni

6. Giudizio finale: approvato / approvato con riserva / sospeso / rifiutato

7. Firma del responsabile e data

8. Eventuali misure di mitigazione concordate (punto 8.2 e 8.4)

Il limite del metodo Colombo: nessuno è infallibile

😏 Nota ironica (ma non troppo)

Colombo non sbaglia mai. Le organizzazioni, sì. La due diligence non è una garanzia assoluta di integrità del partner: è la dimostrazione che l'organizzazione ha adottato misure ragionevoli e proporzionate per prevenire la corruzione. La ISO 37001 — e la giurisprudenza in materia di responsabilità amministrativa degli enti (D.Lgs. 231/2001) — valutano il processo, non solo l'esito. Un fornitore corrotto nonostante una due diligence rigorosa espone l'organizzazione a rischi residui ma non necessariamente a responsabilità. Un fornitore corrotto in assenza di qualsiasi verifica? Quello è un problema molto più grande.

«Sa, mia moglie dice sempre che faccio troppe domande. Probabilmente ha ragione. Ma finora le domande mi hanno sempre portato dove dovevo arrivare.»

— Tenente Colombo, e implicitamente ogni buon ABCO (Anti-Bribery Compliance Officer)/Funzione della Prevenzione della Corruzione degno di questo nome

Riferimenti normativi:

· ISO 37001:2016 – Sistemi di gestione per la prevenzione della corruzione

· D.Lgs. 231/2001 – Responsabilità amministrativa degli enti

· D.Lgs. 231/2007 e ss.mm.ii. – Antiriciclaggio e identificazione UBO

· Transparency International – Corruption Perceptions Index (CPI)

· FATF/GAFI – Raccomandazioni sulle Persone Politicamente Esposte (PEP)

© mauriziomicucci.it — Tutti i diritti riservati. La riproduzione è consentita con citazione della fonte

ARTICOLI CORRELATI:
ISO 37001 - Sistema di Gestione per la prevenzione della corruzione

DOCUMENTI OBBLIGATORI IN UN SISTEMA DI GESTIONE ISO 37001

© Diritti e citazioni — I personaggi e le opere citati in questo articolo appartengono ai rispettivi autori e titolari dei diritti. Il loro utilizzo ha finalità esclusivamente divulgativa e di commento critico, ai sensi dell'art. 70 L. 633/1941. Nessuna affiliazione o sponsorizzazione è implicita o sottintesa.