Se hai seguito anche distrattamente le evoluzioni normative europee degli ultimi tre anni, sai che la Direttiva CSDDD ha cambiato le regole del gioco per chiunque gestisca una supply chain con ramificazioni internazionali. Non si tratta più di responsabilità sociale volontaria: parliamo di obblighi giuridici, sanzioni pecuniarie e responsabilità civile. Ho iniziato a lavorare sulla due diligence di filiera nel 2018, quando era materia per pochi pionieri. Oggi accompagno aziende italiane — dalla meccanica al tessile, dall'agroalimentare alla chimica — a costruire sistemi di due diligence che reggano l'urto della nuova normativa. Questa guida è il distillato di quell'esperienza: una mappa delle norme ISO che ti permettono di conformarti alla CSDDD senza improvvisare, con strumenti concreti e un approccio strutturato.
La Direttiva CSDDD (CS3D): obblighi, tempistiche e soggetti interessati
La Direttiva (UE) 2024/1760, nota come CSDDD o CS3D, è stata pubblicata nella Gazzetta Ufficiale dell'Unione Europea il 5 luglio 2024. Gli Stati membri devono recepirla entro il 26 luglio 2026. L'applicazione è progressiva: dal 26 luglio 2027 per le imprese con oltre 5.000 dipendenti e fatturato netto mondiale superiore a 1.500 milioni di euro, dal 2028 per quelle con oltre 3.000 dipendenti e 900 milioni, dal 2029 per le imprese con oltre 1.000 dipendenti e 450 milioni di fatturato.
L'obbligo centrale: le imprese devono identificare gli impatti negativi effettivi e potenziali sui diritti umani e sull'ambiente lungo la catena delle attività, prevenirli, mitigarli e porvi rimedio. La direttiva non si limita ai fornitori diretti: copre l'intera catena del valore a monte. L'articolo 8 stabilisce l'obbligo di adottare misure appropriate per prevenire gli impatti negativi potenziali, l'articolo 11 disciplina la riparazione degli impatti effettivi.
Per le aziende italiane, il tema è delicato. Molte PMI operano come fornitrici di grandi gruppi europei già soggetti alla direttiva: anche se non rientrano nei parametri dimensionali, si troveranno a rispondere a richieste di due diligence dei propri clienti. Mi è capitato di parlare con il titolare di un'azienda tessile di Prato: "Noi siamo solo in 80, questa direttiva non ci riguarda". Gli ho risposto che il suo cliente principale era un gruppo francese con 12.000 dipendenti, e che gli avrebbe chiesto evidenze di due diligence entro un anno. La CSDDD ha un effetto a cascata lungo tutta la supply chain, e chi non lo capisce in tempo rischia di perdere commesse strategiche.
Due diligence sui diritti umani: ISO 26000 e SA8000
La due diligence sui diritti umani è il cuore della CSDDD. La direttiva richiama esplicitamente i Principi Guida ONU su Imprese e Diritti Umani (UNGP, 2011) e le Linee Guida OCSE per le imprese multinazionali. Come tradurre questi principi generali in un sistema di gestione concretamente operativo?
La ISO 26000:2010 è una guida (non certificabile) sulla responsabilità sociale. La clausola 6.3, dedicata ai diritti umani, fornisce un framework per identificare le situazioni di rischio: lavoro forzato, lavoro minorile, discriminazione, libertà di associazione, condizioni di lavoro. Non ti dà una checklist, ma un metodo per ragionare sui rischi specifici della tua catena di fornitura.
La SA8000, sviluppata da Social Accountability International, è certificabile e più operativa. Si basa sulle convenzioni ILO e copre nove aree: lavoro infantile, lavoro forzato, salute e sicurezza, libertà di associazione, discriminazione, pratiche disciplinari, orario di lavoro, retribuzione, sistema di gestione. Ho lavorato con un'azienda calzaturiera marchigiana che ha certificato SA8000 la propria filiera, inclusi tre terzisti in Romania. Il processo ha richiesto 14 mesi, ma quella certificazione è oggi il loro biglietto da visita con i brand del lusso. La combinazione ISO 26000 come framework strategico e SA8000 come standard operativo è tra le architetture più solide per i requisiti CSDDD sui diritti umani.
Due diligence ambientale: ISO 14001 e carbon footprint nella supply chain
L'articolo 3, paragrafo 1, lettera b) della CSDDD definisce gli impatti ambientali negativi facendo riferimento a una serie di convenzioni: la Convenzione sulla Diversità Biologica, quella di Stoccolma sugli inquinanti organici persistenti, la Convenzione di Minamata sul mercurio. La due diligence ambientale non si esaurisce nella gestione dei rifiuti: copre biodiversità, inquinamento, uso delle risorse naturali e cambiamento climatico.
La ISO 14001:2015 resta il pilastro. La clausola 8.1 sulla pianificazione e il controllo operativo è particolarmente rilevante per la supply chain: richiede di considerare la prospettiva del ciclo di vita e di stabilire controlli per i processi esternalizzati. In pratica, se il tuo fornitore cinese scarica reflui non trattati in un fiume, la ISO 14001 ti impone di averne contezza e di gestire il rischio. Ne parliamo in dettaglio nell'articolo dedicato alla ISO 14001.
Per la componente climatica, le norme chiave sono la ISO 14064 (quantificazione delle emissioni GHG) e la ISO 14067 (carbon footprint di prodotto). La ISO 14064-1:2018 classifica le emissioni in Scope 1, 2 e 3. Per la maggior parte delle aziende manifatturiere, le emissioni Scope 3 della supply chain rappresentano il 70-80% dell'impronta carbonica totale. Un'azienda alimentare di Parma con cui ho lavorato ha scoperto che il 78% delle sue emissioni proveniva dalla fase agricola a monte — dati prima completamente invisibili. Senza questa visibilità, qualsiasi piano di transizione climatica è una promessa vuota.
ISO 20400: acquisti sostenibili e procurement responsabile
La ISO 20400:2017 è la guida internazionale per il sustainable procurement. Non è certificabile, ma rappresenta il framework più completo per integrare la sostenibilità nei processi di acquisto. Nella logica della CSDDD, il procurement è la leva operativa principale: è attraverso le decisioni di acquisto che eserciti la due diligence sulla supply chain.
La clausola 7 dettaglia come integrare la sostenibilità nel ciclo di procurement: dalla definizione dei bisogni alla selezione dei fornitori, dalla valutazione delle offerte alla gestione del contratto. Ti dice concretamente come inserire criteri ESG nelle gare, come ponderarli rispetto ai criteri economici e tecnici, come monitorare le performance dei fornitori.
Ho visto un gruppo industriale veneto trasformare il proprio ufficio acquisti dopo aver adottato la ISO 20400. Prima, il buyer sceglieva quasi esclusivamente sul prezzo. Dopo, ogni ordine superiore a 50.000 euro passa attraverso una valutazione che include criteri ambientali (ISO 14001 del fornitore, carbon footprint), sociali (evidenze SA8000, politiche di lavoro dignitoso) e di governance (anticorruzione, trasparenza fiscale). Hanno perso due fornitori economicamente vantaggiosi ma ad alto rischio ESG e ne hanno guadagnati tre certificati e affidabili. L'ufficio acquisti è diventato il primo presidio di due diligence dell'azienda.
ISO 37301 e compliance anticorruzione nella catena di fornitura
La corruzione lungo la catena di fornitura è uno dei rischi più insidiosi. La ISO 37301:2021 (sistema di gestione della compliance) e la ISO 37001:2016 (sistema di gestione anticorruzione) offrono una risposta strutturata.
La ISO 37301 fornisce il framework generale: politica di compliance, valutazione dei rischi, struttura organizzativa con ruolo della funzione compliance. La ISO 37001 si concentra sull'anticorruzione: valutazione del rischio per tipologia di transazione, controparte e area geografica, controlli proporzionati (due diligence sugli intermediari, controlli sui pagamenti, politica su regali e ospitalità), formazione, canale whistleblowing.
In Italia, il tema si intreccia con il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti. Un Modello 231 che integri ISO 37001 e ISO 37301 crea un sistema di compliance robusto. Ho lavorato con un'azienda impiantistica che operava in Nord Africa: sub-appalti opachi, pagamenti facilitanti, intermediari poco trasparenti. L'implementazione della ISO 37001, con due diligence strutturata su ogni intermediario e fornitore locale, ha richiesto otto mesi ma ha trasformato il modo di operare nei mercati ad alto rischio. Ne parliamo nell'articolo dedicato alla ISO 37001.
ISO 28000: sicurezza nella supply chain
La ISO 28000:2022 è lo standard per il sistema di gestione della sicurezza nella catena di fornitura. La terza edizione ha adottato la struttura armonizzata delle norme ISO di sistema di gestione, rendendo l'integrazione con ISO 9001, ISO 14001 e ISO 45001 molto più fluida.
La norma copre sicurezza fisica delle merci, protezione contro furti e contraffazione, gestione delle minacce terroristiche, cybersecurity dei sistemi logistici. La clausola 6.1 richiede una valutazione del rischio che consideri le minacce specifiche per il contesto operativo: rotte di trasporto, aree geografiche sensibili, tipologia di merci, normative doganali applicabili.
Nel contesto della CSDDD, la ISO 28000 gioca un ruolo spesso sottovalutato. Un'azienda che non sa dove transitano le sue merci, attraverso quali intermediari e in quali condizioni, non può garantire una due diligence efficace. Ho seguito un importatore tessile che utilizzava rotte logistiche attraverso paesi ad alto rischio di lavoro forzato. La mappatura secondo ISO 28000 ha rivelato tre passaggi logistici intermedi non documentati. Senza quella visibilità, qualsiasi dichiarazione di due diligence sarebbe stata carta straccia. La ISO 28000 è il tassello di sicurezza e tracciabilità che completa il puzzle della compliance CSDDD.
Mappatura dei rischi ESG nella catena del valore
Prima di implementare qualsiasi misura di due diligence, devi sapere dove stanno i rischi. La mappatura ESG della catena del valore è il primo passo operativo richiesto dalla CSDDD (articolo 7) e l'esercizio più complesso dell'intero percorso.
Il metodo che utilizzo segue una logica a imbuto. Mappatura di primo livello: chi sono i tuoi fornitori diretti, dove operano, in quali settori. Secondo livello: chi sono i fornitori dei tuoi fornitori, da dove provengono le materie prime critiche. Prioritizzazione basata sul rischio: settore industriale, area geografica (utilizzando indici come il Global Slavery Index, l'Environmental Performance Index, il Corruption Perceptions Index di Transparency International), volume di acquisto e criticità della fornitura.
La ISO 31000:2018 fornisce il framework metodologico: identificazione, analisi, ponderazione e trattamento del rischio. Un'azienda alimentare di Cuneo con cui ho lavorato ha mappato 340 fornitori su tre livelli, identificando 12 situazioni ad alto rischio — coltivazioni in aree di deforestazione, fornitori senza tutele sindacali, intermediari in giurisdizioni opache. Senza quella mappa, erano ciechi. Con la mappa, hanno concentrato risorse e audit dove servivano davvero. La mappatura va aggiornata almeno annualmente: i rischi ESG nella supply chain cambiano con i contesti geopolitici e i mercati delle materie prime.
Vendor assessment strutturato: audit di seconda parte e rating
Una volta mappati i rischi, devi verificare sul campo. L'audit di seconda parte — condotto dall'azienda acquirente presso il fornitore — è una delle "misure appropriate" previste dall'articolo 8 della CSDDD per prevenire gli impatti negativi.
Un buon audit ESG di seconda parte copre quattro aree: condizioni di lavoro (allineamento SA8000), gestione ambientale (allineamento ISO 14001), governance (allineamento ISO 37001), e catena di sub-fornitura. La ISO 19011:2018 è il riferimento metodologico: la clausola 7 descrive il processo dalla pianificazione alla chiusura, compresa la gestione delle competenze degli auditor.
Il rating dei fornitori — su scala da A a D o su punteggi numerici — permette di classificare per livello di rischio ESG e definire azioni graduate: monitoraggio periodico per il rischio basso, piano di miglioramento per il rischio medio, sostituzione per il rischio critico non mitigabile. Un gruppo chimico lombardo con cui collaboro ha implementato un rating ESG su 180 fornitori: in due anni, 15 fornitori sono stati sostituiti e 40 hanno completato piani di miglioramento verificati con audit di follow-up. Il sistema funziona quando è sistematico, trasparente e ha conseguenze reali sulle decisioni di acquisto.
Strumenti digitali per la tracciabilita della supply chain
La due diligence genera un volume di dati che nessun foglio Excel può gestire a regime. Le piattaforme di supply chain management ESG si dividono in tre categorie: piattaforme di raccolta dati e questionari (EcoVadis, Sedex, CDP Supply Chain), soluzioni di supply chain mapping per visualizzare la catena su più livelli e incrociarla con database di rischio, piattaforme di audit management per digitalizzare pianificazione, esecuzione e follow-up degli audit.
La blockchain merita una menzione. Progetti pilota nel tessile (filiera del cotone) e nel minerario (minerali da zone di conflitto) la utilizzano per garantire l'immutabilità dei dati di tracciabilità. I risultati sono promettenti ma la maturità tecnologica è in evoluzione. Ho visto un'azienda agroalimentare piemontese investire 200.000 euro in una soluzione blockchain per la filiera del nocciolo: dopo 18 mesi funzionava bene al primo livello, ma faticava a coinvolgere i piccoli agricoltori al secondo, privi di competenze digitali. La tecnologia da sola non basta: serve un piano di change management che coinvolga ogni anello della catena, compresi i fornitori più piccoli e meno digitalizzati.
Reporting CSRD e integrazione con la due diligence
La CSDDD si integra con la Direttiva CSRD (2022/2464/UE) e con gli European Sustainability Reporting Standards (ESRS). L'ESRS S2 (Workers in the value chain) e l'ESRS E1 (Climate change) richiedono informazioni che derivano direttamente dai processi di due diligence previsti dalla CSDDD.
Il rischio concreto è duplicare gli sforzi: raccogliere dati per la due diligence e poi raccoglierli di nuovo per il reporting. L'approccio efficiente è un sistema informativo unico: la mappatura dei rischi ESG (CSDDD) produce i dati per la doppia materialità (CSRD), gli audit di seconda parte generano le evidenze per i disclosure requirement degli ESRS.
Gli ESRS richiedono che le informazioni sulla due diligence siano verificabili. L'articolo 34 della Direttiva 2013/34/UE, modificato dalla CSRD, prevede l'assurance della rendicontazione di sostenibilità. I dati di due diligence devono avere un'affidabilità paragonabile ai dati finanziari. Le certificazioni ISO — ISO 14001 per i dati ambientali, SA8000 per quelli sociali, ISO 37001 per la governance — forniscono quella struttura e verificabilità che rende i dati "assurance-ready". Un direttore finanziario di un gruppo bolognese mi ha detto: "Ho capito la CSDDD quando ho capito che i dati ESG della supply chain finiranno nel bilancio, e il revisore me li chiederà con la stessa precisione dei dati contabili". Aveva centrato il punto.
Sanzioni e responsabilita: cosa rischia chi non si adegua
La CSDDD ha denti. L'articolo 27 prevede che gli Stati membri designino un'autorità di vigilanza con poteri di indagine e sanzionatori. Le sanzioni pecuniarie devono essere "effettive, proporzionate e dissuasive", con un massimo non inferiore al 5% del fatturato netto mondiale. Per un'azienda con un miliardo di fatturato, parliamo di 50 milioni di euro potenziali.
Ma la sanzione pecuniaria non è il rischio più temibile. L'articolo 29 introduce la responsabilità civile: chi subisce un danno per mancata due diligence può chiedere il risarcimento. Questo apre a class action — nel diritto italiano, azioni collettive ai sensi della L. 31/2019 — promosse da comunità, lavoratori, ONG. C'è poi il "naming and shaming": le autorità possono rendere pubbliche le violazioni, con impatto devastante sulla reputazione. Nelle gare pubbliche, la non conformità potrà diventare criterio di esclusione.
Ho visto aziende perdere contratti da milioni di euro per una non conformità ambientale di un sub-fornitore di terzo livello. Con la CSDDD, queste situazioni diventeranno più frequenti. Chi pensa di aspettare l'ultimo momento sottovaluta la complessità: costruire un sistema di due diligence robusto richiede 12-24 mesi di lavoro strutturato.
FAQ
La CSDDD si applica anche alle PMI italiane?
Direttamente, no: si applica alle imprese con oltre 1.000 dipendenti e 450 milioni di fatturato (a regime dal 2029). Indirettamente, sì: le PMI fornitrici di grandi gruppi riceveranno richieste di due diligence dai propri clienti. L'effetto a cascata raggiunge l'intera supply chain, indipendentemente dalla dimensione.
Quali certificazioni ISO servono per la CSDDD?
Non esiste una singola certificazione. L'architettura più efficace combina ISO 14001 (ambiente), SA8000 (diritti umani), ISO 37001 (anticorruzione), ISO 20400 (procurement sostenibile), ISO 28000 (sicurezza supply chain) e ISO 31000 (gestione del rischio). La scelta dipende dal profilo di rischio della tua catena di fornitura.
Qual è la differenza tra CSDDD e CSRD?
La CSDDD impone un obbligo di condotta: fare due diligence per prevenire impatti negativi. La CSRD impone un obbligo di trasparenza: rendicontare le performance ESG secondo gli ESRS. Sono complementari e si rafforzano a vicenda: la due diligence produce i dati, il reporting li comunica agli stakeholder.
Quanto tempo serve per implementare un sistema di due diligence CSDDD?
Da 12 a 24 mesi. I primi sei mesi per mappatura e valutazione dei rischi ESG. I successivi sei per misure di prevenzione e audit di seconda parte. L'ultimo periodo per rodaggio, formazione e integrazione con il reporting CSRD. Chi parte nel 2025 arriva pronto alla scadenza 2027.
La CSDDD non è l'ennesimo adempimento burocratico. Le norme ISO descritte in questa guida — dalla ISO 14001 alla SA8000, dalla ISO 37001 alla ISO 28000 — sono componenti di un sistema integrato di due diligence che protegge l'azienda, i lavoratori, l'ambiente e le comunità lungo la supply chain. Chi lo capisce per primo trasforma un obbligo in vantaggio competitivo. Chi aspetta, rincorre. E nella supply chain globale del 2027, rincorrere significa restare fuori dai giochi che contano.