Due Diligence sulla Sostenibilità (CSDDD)

Come funziona

La CSDDD richiede alle imprese di grande dimensione di condurre una due diligence sistematica sui rischi e sugli impatti negativi relativi ai diritti umani, all'ambiente e alla governance nella loro catena del valore. Questo significa identificare dove i rischi si concentrano, valutare la probabilità e la gravità dei potenziali effetti negativi, e poi implementare azioni concrete per eliminarli o ridurli a livelli accettabili.
Il processo non è una tantum. L'articolo 7 della CSDDD richiede che le imprese monitorino continuamente l'efficacia delle loro azioni di mitigazione e aggiornino il loro piano di due diligence quando emergono nuovi rischi o quando le azioni precedenti si rivelano insufficienti.
Nella pratica, il revisore esterno non audita la sostenibilità dell'impresa, bensì verifica che il processo di due diligence sia stato condotto secondo le fasi richieste dalla CSDDD: identificazione dei rischi, coinvolgimento degli stakeholder, implementazione di azioni correttive, monitoraggio e comunicazione. La documentazione di ogni fase è quello che il revisore valuterà.
---

Esempio pratico: Tessuti Nordici A/S

Cliente: Produttore di tessuti per arredamento, sede in Danimarca, ricavi FY2024 pari a EUR 78M, quotato (soglia CSDDD superata).
Fase 1: Mapping dei rischi di sostenibilità
Il revisore esterno esamina il rapporto di due diligence sulla sostenibilità predisposto a novembre 2024. L'impresa ha identificato cinque zone geografiche ad alto rischio nella catena di fornitura: India, Pakistan, Vietnam, Turchia e Bangladesh. Per ciascuna zona ha documentato i rischi specifici: diritti umani nei laboratori di tessitura, impatti idrici nella tintura dei tessuti, gestione dei rifiuti chimici, sicurezza nei magazzini.
Nota di documentazione: il revisore registra nelle carte di lavoro quali rischi sono stati identificati (allegato A del rapporto CSDDD), la data dell'identificazione, e verifica che la lista sia aggiornata rispetto all'anno precedente.
Fase 2: Valutazione della gravità e della probabilità
Tessuti Nordici ha assegnato un punteggio a ciascun rischio usando una matrice di probabilità/gravità. Il rischio di violazione dei diritti umani nei laboratori di tessitura è stato classificato come "alto" (elevata probabilità dato il contesto geografico, elevata gravità se verificato). Il rischio di contaminazione idrica è "medio-alto".
Nota di documentazione: la metodologia di valutazione (criteri di probabilità, criteri di gravità, scala utilizzata) deve essere documentata nel fascicolo. Il revisore verifica che i criteri siano stati applicati coerentemente a tutti i rischi identificati.
Fase 3: Azioni di mitigazione implementate
Per il rischio di diritti umani, l'impresa ha:
Per il rischio idrico, ha installato sistemi di depurazione nei laboratori di tintura interni (investimento EUR 2,1M completato in settembre 2024) e ha posto nel contratto con i fornitori di tintura esterna l'obbligo di rispetto degli standard locali di scarico.
Nota di documentazione: per ogni azione, il revisore registra la data di implementazione, il responsabile, il budget stanziato, e il risultato atteso. Le azioni devono essere tracciabili a documenti di supporto (ordini d'acquisto, mail, rapporti di audit).
Fase 4: Monitoraggio dell'efficacia
A dicembre 2024, Tessiti Nordici ha condotto un follow-up presso i tre fornitori per valutare se le azioni erano state rispettate. Uno dei tre fornitori ha rispettato il codice di condotta; gli altri due mostravano lacune documentali sulla tracciabilità della forza lavoro. L'impresa ha richiesto un piano d'azione entro gennaio 2025.
Nota di documentazione: il revisore registra i risultati del follow-up, le non conformità riscontrate, e la risposta dell'impresa. Una mancanza di follow-up, o un follow-up insufficiente, è il rilievo di ispezione più comune in questa fase.
Conclusione: La due diligence sulla sostenibilità di Tessuti Nordici è stata condotta secondo i quattro passaggi richiesti dalla CSDDD. La documentazione è sufficiente che l'impresa ha operato in conformità alla direttiva, sebbene l'efficacia delle azioni rimanga monitorata (dato che due fornitori non erano ancora pienamente conformi a dicembre).
---

• Effettuato un audit di sostenibilità presso tre fornitori critici in India e Pakistan nel Q2 2024
• Implementato un codice di condotta per tutti i fornitori (maggio 2024)
• Inserito clausole contrattuali che consentono verifiche sul rispetto dei diritti umani

Cosa i revisori e gli ispettori prendono per errore

---

• Confusione tra CSDDD (due diligence sulle azioni) e CSRD (comunicazione del risultato). Un'impresa può avere completato la CSRD/ESRS reporting e dichiarare i propri impatti di sostenibilità nei confronti degli stakeholder, ma se non ha documentato il processo di due diligence che ha portato a queste conclusioni, non è in conformità alla CSDDD. Il rilievo più frequente è l'assenza di documentazione della fase di identificazione e valutazione dei rischi.
• Auditor che valutano l'accuratezza dei dati di sostenibilità invece di valutare il processo di due diligence. La CSDDD non richiede che il revisore esterno auditi i dati di sostenibilità dell'impresa (ad esempio, verificare che l'emissione di carbonio dichiarata sia precisa). Richiede di verificare che il processo sistematico di identificazione, valutazione e mitigazione sia stato condotto. Questo è un ambito di attestazione diverso.
• Mancanza di tracciamento nel tempo. La CSDDD richiede che la due diligence sia continua e aggiornata. Un revisore che non riscontra un aggiornamento della valutazione dei rischi da oltre 12 mesi, o che non trova evidenza di monitoraggio delle azioni implementate, deve segnalare una potenziale lacuna di conformità. La direttiva non ammette di fare "un'analisi una volta" e poi non aggiornare.

Vs. CSRD/ESRS: quando importa la distinzione

| Aspetto | CSDDD (Due Diligence sulla Sostenibilità) | CSRD/ESRS (Comunicazione sulla Sostenibilità) |
|---------|------|------|
| Scopo | Processo interno di identificazione e mitigazione dei rischi e degli impatti negativi | Comunicazione pubblica dei risultati di sostenibilità agli stakeholder |
| Chi la richiede | Articoli 5-10 della Direttiva CSDDD | Articoli 8-10 della CSRD; standard ESRS |
| Risultato documentato | Piano di due diligence, rapporto di valutazione dei rischi, azioni e loro monitoraggio | Dichiarazione di sostenibilità allegata alla relazione di gestione |
| Quando la revisore la audita | Il revisore valuta il processo di due diligence come elemento della revisione sul bilancio (non è una attestazione separata finché ISSA 5000 non è finalizzato) | Il revisore attesterà la dichiarazione CSRD a partire dal 2029 su base obbligatoria (ISSA 5000) |
| Errore più comune | Documento di due diligence assente o insufficientemente dettagliato nella fase di identificazione dei rischi | Comunicazione priva della documentazione di supporto sulla come i rischi sono stati identificati |
La distinzione importa perché un'impresa potrebbe avere un rapporto CSRD/ESRS completo e ben comunicato, ma mancare completamente della documentazione interna di due diligence. Una è comunicazione verso l'esterno; l'altra è un processo interno di gestione del rischio.
---

Cosa dicono gli ispettori

Le ispezioni relative alla CSDDD non sono ancora sistematiche in Europa (la direttiva entra in vigore progressivamente dal 2027), ma i regolatori hanno iniziato a verificare la preparazione delle imprese. Le principali osservazioni riscontrate in fase di verifica preliminare sono:
---

• Assenza di documento formale di due diligence. L'impresa non ha un rapporto dedicato alla due diligence sulla sostenibilità; il processo è frammentato tra il team HR (diritti umani), il team Operazioni (impatti ambientali) e il team Compliance (governance). Quando chiesta la documentazione, non è in grado di produrre un'analisi coerente e datata.
• Identificazione dei rischi troppo generica. L'impresa ha elencato i rischi di sostenibilità come "rischi legati ai diritti umani nella supply chain" senza specificare dove nella catena del valore questi rischi si concentrano, quale sia la probabilità per la propria impresa, e quale sia la gravità potenziale. Manca il passaggio di focus dalla teoria alla realtà della propria posizione.
• Mancanza di follow-up sulle azioni. L'impresa ha identificato azioni correttive (ad esempio, implementare un codice di condotta), ma non documenta se e come è stata verificata l'attuazione. Non c'è evidenza che l'impresa abbia provato se le azioni hanno effettivamente ridotto il rischio.

Termini correlati

---

• Double Materiality (Doppia Materialità): il processo di valutazione della materialità finanziaria e della materialità di sostenibilità utilizzato nella CSRD, strettamente collegato alla fase di valutazione della gravità e della probabilità nella due diligence sulla sostenibilità.
• ESRS (European Sustainability Reporting Standards): gli standard di comunicazione della sostenibilità richiesti dalla CSRD, che presuppongono che l'impresa abbia completato la dovuta diligenza sulla sostenibilità per sapere quali impatti comunicare.
• Risk of Material Misstatement (Rischio di Errore Significativo): il concetto di base della revisione contabile; la dovuta diligenza sulla sostenibilità segue una logica simile di identificazione, valutazione e mitigazione dei rischi.
• Stakeholder Engagement (Coinvolgimento degli Stakeholder): la consultazione richiesta dalla CSDDD con i gruppi di interesse per identificare i rischi di sostenibilità dall'esterno verso l'interno (non solo dalla prospettiva dell'impresa).
• ISSA 5000 (International Standard for Sustainability Assurance): lo standard internazionale per l'attestazione di sostenibilità ancora in finalizzazione, che normerà come i revisori attesteranno formalmente i dati di sostenibilità inclusa la dovuta diligenza.
• Continuous Monitoring (Monitoraggio Continuo): il requisito della CSDDD di mantenere aggiornato il processo di due diligence nel tempo, non come una attività singola bensì come ciclo ricorrente.