Definition
Il rilievo che già si vede nelle verifiche preliminari delle imprese soggette alla CSDDD non è la qualità del processo di due diligence: è la sua assenza documentale. La direzione conosce i rischi della catena del valore, ne discute nelle riunioni, prende decisioni; ma quando il revisore chiede il fascicolo di due diligence, riceve una serie di email frammentate tra HR, Operazioni e Compliance. Le carte erano leggere proprio dove la direttiva chiede continuità.
Come funziona
La CSDDD impone alle imprese di grande dimensione (oltre 1.000 dipendenti e fatturato netto mondiale superiore a EUR 450M, secondo le soglie attuali post-revisione 2025) di condurre una due diligence sistematica sui rischi e sugli impatti negativi relativi a diritti umani, ambiente e governance nella catena del valore. Il processo si articola in identificazione dei rischi (dove si concentrano e quanto sono gravi), implementazione di azioni concrete di mitigazione, monitoraggio dell'efficacia, comunicazione strutturata.
L'articolo 7 della Direttiva non ammette l'analisi una tantum. Le imprese devono monitorare in modo continuo l'efficacia delle azioni di mitigazione e aggiornare il piano di due diligence quando emergono nuovi rischi o quando le azioni precedenti si rivelano insufficienti. La continuità è il punto in cui le imprese italiane meno preparate si fermeranno: il piano del 2027 senza aggiornamento al 2028 produce automaticamente un'esposizione di non conformità.
Nella pratica il revisore esterno non audita la sostanza della sostenibilità. Verifica che il processo di due diligence sia stato condotto secondo le fasi richieste: identificazione dei rischi, coinvolgimento degli stakeholder, implementazione di azioni correttive, monitoraggio, comunicazione. La documentazione di ciascuna fase è ciò che il revisore valuta. Confondere questo ambito con quello dell'ISSA 5000 (assicurazione sui dati di sostenibilità) è uno degli errori concettuali più ricorrenti nei team meno esperti, ed è l'errore che produce sia incarichi accettati a tariffe inadeguate sia rilievi successivi quando emerge che il revisore stava verificando la cosa sbagliata.
---
Esempio pratico: Tessuti Nordici A/S
Cliente: produttore di tessuti per arredamento, sede in Danimarca con stabilimento produttivo in Italia, ricavi FY2024 EUR 780M, oltre 2.500 dipendenti complessivi, soggetto CSDDD nel primo scaglione di applicabilità.
Fase 1: mapping dei rischi di sostenibilità
Il revisore esterno esamina il rapporto di due diligence sulla sostenibilità predisposto a novembre 2024. L'impresa ha identificato cinque zone geografiche ad alto rischio nella catena di fornitura: India, Pakistan, Vietnam, Turchia, Bangladesh. Per ciascuna zona ha documentato i rischi specifici: diritti umani nei laboratori di tessitura, impatti idrici nella tintura dei tessuti, gestione dei rifiuti chimici, sicurezza nei magazzini.
Nota di documentazione: il revisore registra nelle carte di lavoro quali rischi sono stati identificati (allegato A del rapporto CSDDD), la data dell'identificazione, e verifica che la lista sia aggiornata rispetto all'anno precedente.
Fase 2: valutazione di gravità e probabilità
Tessuti Nordici ha assegnato un punteggio a ciascun rischio usando una matrice di probabilità/gravità. Il rischio di violazione dei diritti umani nei laboratori di tessitura è classificato «alto» (probabilità elevata dato il contesto geografico, gravità elevata se verificato). Il rischio di contaminazione idrica è «medio-alto».
Nota di documentazione: la metodologia di valutazione (criteri di probabilità, criteri di gravità, scala utilizzata) deve essere documentata nel fascicolo. Il revisore verifica che i criteri siano stati applicati coerentemente a tutti i rischi identificati.
Fase 3: azioni di mitigazione implementate
Per il rischio di diritti umani, l'impresa ha effettuato un audit di sostenibilità presso tre fornitori critici in India e Pakistan nel Q2 2024, ha implementato un codice di condotta per tutti i fornitori (maggio 2024), ha inserito clausole contrattuali che consentono verifiche sul rispetto dei diritti umani.
Per il rischio idrico, ha installato sistemi di depurazione nei laboratori di tintura interni (investimento EUR 2,1M completato in settembre 2024) e ha posto nei contratti con i fornitori di tintura esterna l'obbligo di rispetto degli standard locali di scarico.
Nota di documentazione: per ogni azione il revisore registra la data di implementazione, il responsabile, il budget stanziato, il risultato atteso. Le azioni devono essere tracciabili a documenti di supporto (ordini d'acquisto, comunicazioni interne, rapporti di audit).
Fase 4: la complicazione
A dicembre 2024, Tessuti Nordici ha condotto un follow-up presso i tre fornitori per valutare se le azioni erano state rispettate. Uno dei tre fornitori ha rispettato il codice di condotta; gli altri due mostravano lacune documentali sulla tracciabilità della forza lavoro. L'impresa ha richiesto un piano d'azione entro gennaio 2025. A febbraio 2025, uno dei due fornitori ha presentato un piano credibile; l'altro ha fornito documentazione incoerente che il team Compliance interno valuta come potenzialmente fittizia.
Qui le posizioni del Partner A e del Partner B divergono. Il Partner A direbbe: l'impresa ha condotto il follow-up, ha identificato la non conformità, ha richiesto piani d'azione, due dei tre fornitori sono in via di rientro; il processo sta funzionando come previsto dalla CSDDD, il fascicolo di due diligence è completo per la fase di monitoraggio. Il Partner B direbbe: la documentazione potenzialmente fittizia del terzo fornitore richiede un'azione qualitativamente diversa dal semplice piano d'azione; l'articolo 8 della Direttiva chiede di «sospendere temporaneamente i rapporti commerciali» quando le azioni correttive si rivelano insufficienti; senza decisione esplicita su sospensione o continuazione del rapporto, il fascicolo non documenta una scelta consapevole, ma un'inerzia. La posizione del Partner B prevale, con verbalizzazione della decisione del comitato CSDDD interno entro 30 giorni dalla rilevazione.
Nota di documentazione: «Identificata documentazione fornitore C potenzialmente fittizia. Riferimento art. 8 Direttiva CSDDD: obbligo di valutare la sospensione del rapporto commerciale quando le azioni correttive sono insufficienti. Richiesta verbalizzazione decisione comitato CSDDD interno. Decisione assunta 12 marzo 2025: sospensione cautelativa nuovi ordini, mantenimento ordini in essere fino a indagine indipendente da concludere entro 60 giorni.»
Conclusione: La due diligence sulla sostenibilità di Tessuti Nordici è stata condotta secondo le fasi richieste dalla CSDDD. La documentazione è sufficiente a dimostrare che l'impresa ha operato in conformità alla direttiva. L'efficacia delle azioni rimane oggetto di monitoraggio (un fornitore con documentazione incoerente è in indagine, due in via di rientro), ma il processo è documentato in modo tracciabile e datato.
---
Cosa i revisori e gli ispettori prendono per errore
- Errore di Tier 1 (rilievo ispettivo prevedibile): Confondere CSDDD (due diligence sulle azioni) e CSRD (comunicazione del risultato). Un'impresa può aver completato la rendicontazione CSRD/ESRS e dichiarato i propri impatti di sostenibilità agli stakeholder, ma se non ha documentato il processo di due diligence che ha portato a quelle conclusioni, non è in conformità alla CSDDD. Sono due obblighi paralleli con due fascicoli paralleli; il rilievo più frequente è l'assenza di documentazione della fase di identificazione e valutazione dei rischi anche presso imprese che hanno la dichiarazione CSRD impeccabile.
- Errore di Tier 2 (concettuale): revisori che valutano l'accuratezza dei dati di sostenibilità anziché valutare il processo di due diligence. La CSDDD non chiede al revisore esterno di auditare i dati (verificare che l'emissione di carbonio dichiarata sia precisa). Chiede di verificare che il processo sistematico di identificazione, valutazione e mitigazione sia stato condotto. Verificare i dati è ambito dell'ISSA 5000, non della CSDDD. Confondere i due ambiti significa fare il lavoro sbagliato e fatturarlo come se fosse quello giusto.
- Errore di Tier 3 (continuità): mancanza di tracciamento nel tempo. La CSDDD chiede una due diligence continua e aggiornata. Un revisore che non riscontra un aggiornamento della valutazione dei rischi da oltre 12 mesi, o che non trova evidenza di monitoraggio delle azioni implementate, deve segnalare una potenziale lacuna di conformità. La direttiva non ammette di fare «un'analisi una volta» e poi non aggiornare. Il rilievo standard è formulato come «mancato adempimento dell'obbligo di monitoraggio continuativo ai sensi dell'art. 7».
---
CSDDD vs. CSRD/ESRS
| Aspetto | CSDDD (due diligence) | CSRD/ESRS (comunicazione) |
|---|---|---|
| Scopo | Processo interno di identificazione e mitigazione dei rischi e degli impatti negativi | Comunicazione pubblica dei risultati di sostenibilità agli stakeholder |
| Base normativa | Articoli 5-10 della Direttiva CSDDD | Articoli 8-10 della Direttiva CSRD; standard ESRS |
| Risultato documentato | Piano di due diligence, rapporto di valutazione dei rischi, azioni e monitoraggio | Dichiarazione di sostenibilità allegata alla relazione di gestione |
| Quando il revisore la audita | Il revisore valuta il processo di due diligence come elemento della revisione del bilancio (l'attestazione formalizzata seguirà l'evoluzione ISSA 5000) | Il revisore attesta la dichiarazione CSRD su base obbligatoria a partire dal 2029 (assicurazione limitata, poi ragionevole) ai sensi dell'ISSA 5000 |
| Errore più comune | Documento di due diligence assente o insufficientemente dettagliato nella fase di identificazione dei rischi | Comunicazione priva della documentazione di supporto su come i rischi sono stati identificati |
La distinzione conta perché un'impresa può avere un rapporto CSRD/ESRS completo e ben comunicato, ma mancare completamente della documentazione interna di due diligence. Una è comunicazione verso l'esterno; l'altra è un processo interno di gestione del rischio. Il revisore che chiede solo la dichiarazione CSRD senza chiedere il fascicolo di due diligence verifica la metà del lavoro.
---
Cosa dicono gli ispettori
Le ispezioni relative alla CSDDD non sono ancora sistematiche in Europa (la direttiva entra in vigore progressivamente dal 2027), ma i regolatori italiani hanno iniziato a verificare la preparazione delle imprese soggette al primo scaglione. Le principali osservazioni nelle verifiche preliminari del 2024-2025 sono:
- Assenza di documento formale di due diligence. L'impresa non ha un rapporto dedicato; il processo è frammentato tra il team HR (diritti umani), il team Operazioni (impatti ambientali) e il team Compliance (governance). Quando il revisore chiede la documentazione, l'impresa non riesce a produrre un'analisi coerente e datata.
- Identificazione dei rischi troppo generica. L'impresa elenca i rischi come «rischi legati ai diritti umani nella supply chain» senza specificare dove nella catena del valore questi rischi si concentrano, quale sia la probabilità per la propria specifica impresa, e quale sia la gravità potenziale. Manca il passaggio di focus dalla teoria alla realtà della propria posizione operativa.
- Mancanza di follow-up sulle azioni. L'impresa identifica azioni correttive (implementazione di un codice di condotta, audit di fornitori) ma non documenta se e come l'attuazione sia stata verificata. Non c'è evidenza che l'impresa abbia testato se le azioni hanno effettivamente ridotto il rischio. Il follow-up senza misurazione di efficacia non è follow-up: è una formalità documentale.
C'è un'osservazione che si fa solo dopo aver visto i primi fascicoli reali. Le imprese italiane soggette al primo scaglione CSDDD stanno spendendo una quota sproporzionata del budget compliance sulla parte CSRD/ESRS (la comunicazione, che è visibile) e una quota inadeguata sulla parte CSDDD (il processo, che non è visibile fino all'ispezione). È esattamente la ripartizione opposta a quella che il rischio sanzionatorio suggerirebbe. Le sanzioni per non conformità CSDDD nella versione finale della Direttiva possono raggiungere il 5% del fatturato netto mondiale; le sanzioni CSRD per omissioni informative sono significativamente più contenute. Il fascicolo che resiste in ispezione è quello che documenta il processo, non quello che impagina meglio la dichiarazione finale.
---
Termini correlati
- Doppia materialità (Double Materiality): il processo di valutazione della materialità finanziaria e della materialità di sostenibilità usato nella CSRD, strettamente collegato alla fase di valutazione di gravità e probabilità nella due diligence sulla sostenibilità.
- ESRS (European Sustainability Reporting Standards): gli standard di comunicazione della sostenibilità richiesti dalla CSRD, che presuppongono che l'impresa abbia completato la due diligence sulla sostenibilità per sapere quali impatti comunicare.
- Rischio di errore significativo: il concetto di base della revisione contabile; la due diligence sulla sostenibilità segue una logica analoga di identificazione, valutazione e mitigazione dei rischi.
- Coinvolgimento degli stakeholder (Stakeholder Engagement): la consultazione richiesta dalla CSDDD con i gruppi di interesse per identificare i rischi di sostenibilità dall'esterno verso l'interno (non solo dalla prospettiva dell'impresa).
- ISSA 5000 (International Standard for Sustainability Assurance): lo standard internazionale per l'attestazione di sostenibilità che norma il modo in cui i revisori attesteranno formalmente i dati di sostenibilità inclusa la due diligence.
- Monitoraggio continuo (Continuous Monitoring): il requisito CSDDD di mantenere aggiornato il processo di due diligence nel tempo, non come attività singola ma come ciclo ricorrente ai sensi dell'articolo 7 della Direttiva.
---