Indice
1. Cosa va storto nella pratica sui fascicoli S4 2. Quadro normativo CSRD e requisiti di assurance 3. Struttura dell'ESRS S4 e doppia materialita 4. Disclosure obbligatorie e condizionali 5. Esempio pratico con complicazione 6. Due posizioni legittime su S4-2 7. Checklist operativa per il fascicolo 8. Errori comuni nella preparazione 9. Contenuti correlati
Cosa va storto nella pratica sui fascicoli S4
Partiamo da quello che si riscontra sul campo, non da quello che dice lo standard. Nei fascicoli che vediamo, quattro pattern si ripetono.
Il primo: IRO generiche. La direzione copia il testo dell'Appendice A di ESRS S4 e lo trasforma in una matrice di rischi senza lavoro sottostante. "Sicurezza del prodotto: materiale." Nessuna evidenza di come la valutazione sia stata condotta, nessun riferimento a incidenti storici, nessun collegamento alla segmentazione della clientela.
Il secondo: la confusione fra consumatori e utilizzatori finali. Per una fintech B2B che fornisce API di pagamento ai merchant, i consumatori finali stanno a valle, non nel portafoglio clienti diretti. S4 li include. Nei fascicoli del primo anno, nove volte su dieci, il perimetro si ferma ai clienti diretti e lascia fuori la catena distributiva.
Il terzo: scarsa evidenza sulla due diligence di S4-2 e S4-3. Lo standard parla di processi per coinvolgere i consumatori e di canali per sollevare preoccupazioni. In pratica pero, si trovano allegate le statistiche del customer care come se bastassero, senza documentare se i canali siano accessibili ai gruppi vulnerabili, senza i tempi medi di risoluzione per categoria di reclamo.
Il quarto: assenza di collegamento con ESRS S1 (forza lavoro propria) e G1 (condotta delle imprese). Un caso ricorrente: la piattaforma digitale che raccoglie dati del consumatore per scopi di marketing, attraverso algoritmi gestiti da personale interno. S1, S4, G1 si sovrappongono. I fascicoli tendono a trattare i tre standard come silos.
Quadro normativo CSRD e requisiti di assurance
La Direttiva CSRD (2022/2464/UE) e stata recepita in Italia con D.Lgs. 6 settembre 2024 n. 125, che ha modificato il D.Lgs. 39/2010 introducendo gli articoli 29-bis e 29-ter sulla rendicontazione di sostenibilita e sulla sua attestazione. L'ESRS S4 governa la rendicontazione sui consumatori e utilizzatori finali come componente sociale.
Cronoprogramma di applicazione
Il cronoprogramma si articola in tre ondate:
- Prima ondata (esercizi dal 1 gennaio 2024): Enti di interesse pubblico con oltre 500 dipendenti, gia soggetti al D.Lgs. 254/2016 (DNF) - Seconda ondata (esercizi dal 1 gennaio 2025): Grandi imprese che superano due dei tre criteri (250+ dipendenti, 50 milioni di fatturato, 25 milioni di totale attivo) - Terza ondata (esercizi dal 1 gennaio 2026): PMI quotate, escluse microimprese
Ogni ondata comporta l'obbligo di limited assurance. L'articolo 14-bis del D.Lgs. 39/2010 stabilisce che l'attestazione sia rilasciata dal revisore legale incaricato della revisione del bilancio o da un altro revisore abilitato.
Livello di assurance richiesto
La CSRD impone limited assurance come punto di partenza. Per i revisori mid-tier, questo significa sviluppare competenze specifiche nella revisione della rendicontazione di sostenibilita. Si riscontra spesso che gli studi di minori dimensioni sottostimano il carico di lavoro su S4, perche la logica ISA Italia applicata al bilancio non si trasferisce in modo meccanico allo standard di assurance sulla sostenibilita.
Autorita competenti e implementazione nazionale
CONSOB e l'autorita designata per la vigilanza sulla rendicontazione di sostenibilita delle societa quotate e degli enti di interesse pubblico, ai sensi dell'articolo 196 del D.Lgs. 58/1998 come modificato. A livello UE, EFRAG mantiene la responsabilita tecnica sugli ESRS, adottati con Regolamento Delegato (UE) 2023/2772 del 31 luglio 2023.
Struttura dell'ESRS S4 e doppia materialita
ESRS S4 segue la struttura degli ESRS sociali: obiettivo, ambito, requisiti suddivisi in disclosure obbligatorie e soggette a valutazione di materialita.
Il principio di doppia materialita applicato a S4
La doppia materialita richiede che l'impresa valuti:
1. Materialita di impatto: come le attivita dell'impresa influenzano i consumatori e utilizzatori finali 2. Materialita finanziaria: come le questioni relative ai consumatori influenzano la performance finanziaria
Un aspetto e materiale se soddisfa uno dei due criteri. Per ESRS S4, la materialita di impatto spesso emerge da sicurezza e qualita dei prodotti, accessibilita, privacy, pratiche di marketing, supporto post-vendita.
La materialita finanziaria puo derivare da rischi reputazionali legati a incidenti di sicurezza, costi di compliance, opportunita di mercato da prodotti piu accessibili, rischi di contenzioso.
Sottotemi identificati nell'Appendice A
- Sicurezza del prodotto e del servizio: prevenzione di danni fisici e psicologici - Accessibilita: inclusione per persone con disabilita e altri gruppi vulnerabili - Privacy e protezione dei dati: gestione responsabile delle informazioni personali - Pratiche commerciali responsabili: marketing etico, pricing trasparente, vendite responsabili
Disclosure obbligatorie e condizionali
ESRS S4 distingue tra disclosure obbligatorie (che si applicano sempre) e disclosure soggette a valutazione di materialita.
Disclosure obbligatorie
ESRS S4-1: politiche relative ai consumatori e utilizzatori finali. Descrizione delle politiche, modalita di implementazione e monitoraggio, collegamento con altri framework (ISO 26000, GRI).
ESRS S4-2: processi per il coinvolgimento dei consumatori. Meccanismi di consultazione e feedback, gestione di reclami e ricorsi, frequenza del coinvolgimento.
ESRS S4-3: canali per i consumatori per sollevare preoccupazioni. Descrizione dei meccanismi di segnalazione, accessibilita, tempi di risposta.
Disclosure condizionali (soggette a materialita)
ESRS S4-4: presa d'atto degli impatti materiali negativi e azioni intraprese. Identificazione specifica degli impatti, azioni di mitigazione, timeline e responsabilita.
ESRS S4-5: obiettivi relativi alla gestione degli impatti materiali negativi. Obiettivi quantificabili con scadenze, metodologie di misurazione, collegamenti con la strategia aziendale.
ESRS S4.17 - S4.24: metriche specifiche. Numero di incidenti di sicurezza, percentuale di prodotti accessibili, violazioni privacy riscontrate, customer satisfaction scores per categoria.
Dove vive il giudizio
Nei casi in cui il revisore nutra la convinzione che la direzione abbia sottostimato la materialita (ad esempio escludendo la vulnerabilita del consumatore perche "non applicabile al nostro segmento"), il giudizio professionale si concentra su tre fronti: la valutazione di vulnerabilita, il perimetro di value chain, la connessione con S1 e G1.
Un elemento distintivo di S4 e la materialita dinamica. Un'impresa che inizialmente conclude che i consumatori non siano materiali puo doverlo riconsiderare a seguito del lancio di nuovi prodotti rivolti a segmenti vulnerabili, di incidenti di sicurezza, di modifiche normative (GDPR, Digital Services Act, AI Act), di cambiamenti nelle aspettative degli stakeholder.
Esempio pratico con complicazione
Scenario: Elettronica Digitale Italiana S.p.A.
Elettronica Digitale Italiana S.p.A. e un produttore di dispositivi elettronici di consumo con sede a Milano. Fatturato 2024: 85 milioni, 1.200 dipendenti, quotata su Euronext Milan. Rientra nella seconda ondata CSRD (rendicontazione 2026).
L'impresa produce smartphone, tablet e accessori venduti in Italia, Francia e Germania attraverso distributori e negozi al dettaglio. Include anche un programma fedelta con app mobile che raccoglie dati di comportamento d'acquisto.
Passaggio 1: valutazione di doppia materialita
Il team di sostenibilita identifica questi aspetti potenzialmente materiali: - Sicurezza prodotti (materialita di impatto: alta, prodotti utilizzati anche da minori) - Privacy dati (materialita di impatto alta per raccolta dati utenti, materialita finanziaria alta per multe GDPR) - Accessibilita (materialita di impatto media, alcuni prodotti non accessibili) - Pratiche commerciali (materialita finanziaria media per regulatory scrutiny crescente)
Documentazione nel fascicolo: matrice di doppia materialita con score da 1 a 5 per impatto e rilevanza finanziaria, fonti di evidenza per ogni valutazione.
Passaggio 2: determinazione dei requisiti di disclosure
Conclusione: i consumatori sono un'area materiale. Si applicano tutte le disclosure S4-1 attraverso S4-5, piu le metriche S4.17-S4.24 rilevanti.
Passaggio 3: preparazione delle disclosure obbligatorie
ESRS S4-1 (politiche): adozione della "Politica Consumatori Responsabile" approvata dal CdA nel marzo 2024. La politica copre sicurezza prodotti secondo IEC 62368-1, privacy dati secondo GDPR, accessibilita secondo EN 301 549, marketing responsabile secondo ICC Marketing Code.
ESRS S4-2 (processi di coinvolgimento): coinvolgimento trimestrale attraverso sondaggi NPS per 5.000 clienti random, focus group semestrali con 50 rappresentanti di associazioni disabili, advisory board consumatori con 12 membri che si riunisce ogni 90 giorni.
Passaggio 4: disclosure condizionali con una complicazione
Il programma fedelta dell'impresa raccoglie dati sensibili di comportamento d'acquisto attraverso l'app mobile. I dati sono processati da un cloud provider terzo con sede in Irlanda, che a sua volta li aggrega per fini di marketing predittivo. Il team di sostenibilita si ferma: S4 IRO-1 richiede una valutazione di vulnerabilita del consumatore, ma la direzione non ha distinto fra trattamento diretto e trattamento tramite terzo. Il revisore deve chiedersi se si tratti di un impatto diretto ex S4 o di un impatto mediato dalla catena del valore che ricade anche su S1 (lavoratori della catena del valore che gestiscono i dati).
La risposta non e semplice. Per carita, si puo anche sostenere che il trattamento tramite cloud provider esuli da S4 perche non e sotto controllo diretto. Pero il considerando 24 di ESRS 1 e chiaro sulla copertura della value chain a monte e a valle. Il nostro approccio: trattare il programma fedelta come impatto S4 diretto (il consumatore subisce l'effetto), documentare il cloud provider come parte della catena del valore con relativa due diligence contrattuale, e annotare l'intersezione con S1 nella narrativa.
Passaggio 5: raccolta metriche quantitative
ESRS S4.17 (incidenti sicurezza): 2 incidenti confermati nel 2024, entrambi risolti in meno di 30 giorni, zero feriti.
ESRS S4.19 (percentuale prodotti accessibili): 45% del portfolio soddisfa WCAG 2.1 AA, obiettivo 80% entro fine 2026.
ESRS S4.22 (violazioni privacy): 1 violazione GDPR notificata (processo automatico, 1.200 utenti, sanzione di 15.000 euro).
Risultato finale: sezione ESRS S4 di 4 pagine nel rapporto di sostenibilita, con 18 indicatori quantitativi e piani d'azione specifici. Il fascicolo di revisione raccoglie 847 pagine di documentazione, organizzate per facilitare la limited assurance.
Due posizioni legittime su S4-2
Lo dico con franchezza: su ESRS S4-2 non c'e consenso fra i revisori esperti, e la discussione che segue si sente davvero negli studi italiani nell'ultimo anno.
Due revisori che conosciamo, entrambi con venti anni di esperienza, si trovano in disaccordo sulla seguente domanda: una linea di customer care hotline e sufficiente a soddisfare il requisito S4-2 di "processi per coinvolgere i consumatori"?
La prima posizione: si. La hotline, se dotata di SLA di risposta, registrazione dei reclami, escalation interna, e un processo di coinvolgimento legittimo. Il paragrafo 20 di S4-2 non impone un meccanismo partecipativo strutturato, chiede un processo tracciabile. Imporre un advisory board sarebbe una lettura estensiva che non trova appiglio nel testo.
La seconda posizione: no. "Coinvolgere" significa incorporare la prospettiva del consumatore nelle decisioni, non raccogliere reclami ex post. Una hotline e un canale di S4-3, non di S4-2. S4-2 richiede un meccanismo consultivo genuino, per esempio un advisory board o un panel ricorrente. Accettare la hotline come S4-2 svuota lo standard.
Chi ha ragione? Secondo la guida EFRAG di maggio 2024 sui meccanismi di engagement, la lettura piu solida e la seconda, ma EFRAG non e vincolante. Nel fascicolo, il nostro approccio e documentare la posizione della direzione, raccogliere evidenze del funzionamento del meccanismo (volumi, SLA, come le informazioni rientrano nelle decisioni di prodotto), e sollevare il punto nella relazione di assurance se l'evidenza sia insufficiente.
Checklist operativa per il fascicolo
Prima della raccolta dati (Q2 anno di rendicontazione)
1. Completare la valutazione di doppia materialita per i consumatori secondo ESRS 1.63-1.68 - Coinvolgere stakeholder interni ed esterni - Documentare criteri di soglia per materialita di impatto e finanziaria - Ottenere approvazione formale dal CdA (e, nelle societa con collegio sindacale, parere del sindaco)
2. Mappare i requisiti ESRS S4 applicabili in base alla conclusione di materialita - Se non materiale: solo disclosure obbligatorie S4-1, S4-2, S4-3 - Se materiale: aggiungere S4-4, S4-5 e metriche S4.17-S4.24 rilevanti
3. Identificare fonti dati e responsabili interni - Customer service per reclami e tempi di risoluzione - Legal/compliance per violazioni normative e contenziosi - Prodotto e R&D per metriche di accessibilita e sicurezza - Marketing per pratiche commerciali e comunicazioni
4. Progettare sistemi di raccolta dati che soddisfino i requisiti ISAE 3000 - Audit trail chiaro dalle fonti primarie ai dati riportati - Controlli interni su completezza e accuratezza - Conservazione della documentazione per il periodo di revisione
Durante la raccolta dati (Q3-Q4)
5. Raccogliere evidenze per le disclosure narrative - Politiche formali approvate dal management senior - Processi documentati per coinvolgimento stakeholder - Registri di reclami, incidenti e violazioni normative - Piani d'azione con responsabili nominati e timeline
6. Calcolare le metriche quantitative secondo le definizioni ESRS - Applicare criteri di cut-off uniformi per tutto il perimetro - Riconciliare con sistemi sorgenti (CRM, quality management, legal) - Documentare metodologie di calcolo per enabling assessment sotto ISAE 3000
Elementi tecnici per la limited assurance
La documentazione deve consentire al revisore di condurre procedure analitiche e di inquiry secondo ISAE 3000. Elementi chiave per ogni metrica:
| Elemento | Contenuto atteso |
|---|---|
| Fonte primaria identificabile | Sistema ERP, database CRM, registro compliance |
| Calcolo trasparente | Formula applicata, eventuali aggiustamenti, perimetro |
| Controlli di qualita | Riconciliazioni, approvazioni manageriali, verifiche di coerenza |
| Comparabilita | Metodologie uniformi rispetto al periodo precedente |
Perche l'assurance S4 tende a essere sotto-scoperta
Una riflessione di secondo livello, che merita una nota a parte. L'assurance su S4 tende a essere sotto-scoperta non per pigrizia, ma per un incentivo strutturale: il framework ESRS e stato disegnato da stakeholder europei che davano per scontato che le imprese avessero gia una governance di protezione del consumatore, quando nella PMI italiana tipica questa governance non esiste in forma codificata. Il risultato e che la direzione si trova a ricostruire ex post politiche, processi e canali che non ha mai avuto, e sotto pressione di fee il revisore interpreta la profondita di "limited" nella sua accezione minima. Il fascicolo risulta formalmente coerente e sostanzialmente leggero.
Errori comuni nella preparazione
Sottovalutazione dell'ampiezza di S4. Molte imprese interpretano "consumatori" in senso stretto (solo clienti B2C diretti). S4 include gli utilizzatori finali lungo tutta la catena di distribuzione, inclusi clienti B2B che rivendono a consumatori. Una fintech che fornisce API di pagamento ai merchant deve considerare gli impatti sui consumatori finali che effettuano acquisti.
Confusione fra metriche di satisfaction e conformita ESRS. I KPI interni di customer satisfaction non corrispondono sempre alle metriche richieste da S4. Il Net Promoter Score non sostituisce il conteggio degli incidenti di sicurezza. Le imprese devono mappare le proprie metriche esistenti sui requisiti S4.17-S4.24 e identificare gap di raccolta dati.
Documentazione insufficiente per la materialita. La valutazione di doppia materialita deve essere tracciabile e supportata da evidenze. "I consumatori sono importanti per il nostro business" non basta. Il revisore deve poter verificare che la valutazione sia stata condotta secondo ESRS 1.63-1.68 con coinvolgimento degli stakeholder appropriati e criteri quantitativi definiti. Un controllo CONSOB sulla rendicontazione di sostenibilita 2025 potrebbe rivelare che gli studi mid-tier abbiano accettato assessment di materialita con evidenze minime, e le conseguenze reputazionali ricadrebbero sul revisore prima ancora che sull'emittente.
Contenuti correlati
- Guida alla valutazione di doppia materialita ESRS: come applicare i criteri di ESRS 1 per determinare la materialita di impatto e finanziaria - Calcolatore soglie CSRD: verifica se l'impresa rientra nell'obbligo di rendicontazione CSRD e in quale ondata - Checklist limited assurance sostenibilita ISAE 3000: procedura passo-passo per pianificare ed eseguire la limited assurance del rapporto di sostenibilita