Se nella prima parte abbiamo chiarito “chi” e “quando”, vediamo ora il “come”. La CSDDD chiede di integrare la due diligence nelle politiche e nei sistemi di gestione del rischio, mappare e valutare gli impatti, adottare misure di prevenzione e mitigazione e, se necessario, predisporre rimedi. La logica è sequenziale ma non burocratica: il perimetro si definisce, i rischi si valutano per severità e probabilità, le azioni si pianificano con responsabilità e tempistiche, i risultati si monitorano e si comunicano. Ogni anello è collegato agli altri; spezzarne uno rende l’impianto fragile.
Dalla policy alla pratica — integrazione nei processi
Integrare significa trasformare la due diligence in routine aziendale. Gli acquisti devono poter distinguere tra fornitori ad alto e basso rischio e modulare clausole, audit e accompagnamento. Il legale deve governare garanzie contrattuali che non siano meri modelli, ma strumenti per prevenire impatti, prevedere rimedi e — se serve — gestire un “responsible disengagement”. L’IT deve supportare flussi informativi affidabili, scalabili e proporzionati. La sostenibilità tiene il filo metodologico, il controllo interno testa la robustezza. In pratica, la CSDDD non crea un ufficio in più: ridisegna l’operatività di quelli che già esistono.
Il coinvolgimento degli stakeholder non è un orpello. I canali per le segnalazioni circostanziate chiedono procedure chiare di ricezione, istruttoria e risposta, tutele dell’identità e criteri trasparenti di archiviazione o escalation. Non gestirli significa esporsi a rilievi pubblici e a ordini correttivi; gestirli bene aiuta a prevenire danni più gravi e a individuare nodi di rischio che non emergono nelle analisi da scrivania.
Comunicazione e raccordo con la CSRD
Per le imprese non soggette alla CSRD, la CSDDD prevede una dichiarazione annuale da pubblicare sul sito, con le informazioni chiave sui processi e sulle misure adottate. Per le imprese già tenute alla CSRD, la clausola di equivalenza del piano di transizione riduce ridondanze, ma non elimina l’esigenza di coerenza. In concreto, ciò che si dichiara sui rischi, sui target e sui progressi climatici deve corrispondere a quanto si fa lungo la catena di attività. È qui che i dataset CSRD — emissioni, capex/opex allineati, target — diventano la spina dorsale di KPI e cruscotti anche per la due diligence.
Enforcement e sanzioni — cosa aspettarsi
Ogni Stato membro istituirà una o più autorità di vigilanza con poteri di indagine e ispezione, ordini e misure provvisorie. Le decisioni sanzionatorie saranno pubbliche e confluiranno in una Rete europea delle autorità, incaricata di coordinare prassi e assistenza reciproca. Sul piano pecuniario, il massimale delle sanzioni non può essere inferiore al 5% del fatturato mondiale netto dell’impresa nell’esercizio precedente: una leva dissuasiva che punta a rendere la non-compliance economicamente irrazionale. Accanto all’amministrativo, la direttiva introduce una responsabilità civile con diritto al pieno risarcimento del danno quando l’impresa, con dolo o colpa, non rispetta gli obblighi di prevenzione e mitigazione previsti dagli articoli 10 e 11. La combinazione di pubblicità, sanzioni e civil liability sposta l’incentivo: non basta “avere” un sistema, deve funzionare.
Per le imprese di paesi terzi soggette alla CSDDD, la presenza di un rappresentante autorizzato nell’UE è il primo punto di contatto con le autorità e il destinatario delle notifiche. La scelta di chi riveste questo ruolo e di come lo si dota di poteri effettivi non è secondaria: incide sulla tempestività delle risposte e sul coordinamento tra giurisdizioni.
Convergenze e differenze con altri regimi
La CSDDD convive con normative nazionali già in vigore. In Francia, la legge n. 2017-399 sul dovere di vigilanza ha aperto la strada, imponendo ai gruppi più grandi di adottare e attuare un “plan de vigilance” che copre attività proprie, controllate e fornitori con relazione commerciale consolidata. La giurisprudenza ha confermato che non si tratta di un obbligo di carta, ma di sostanza: piani e misure devono essere effettivi e verificabili. La CSDDD offre un quadro armonizzato più ampio, che tiene insieme approcci nazionali senza annullarli.
Fuori dall’UE, si incontrano richieste affini per finalità ma diverse per tecnicalità. In Norvegia, l’Åpenhetsloven (Transparency Act) obbliga alla due diligence su diritti umani e condizioni di lavoro e impone un dovere di informazione verso il pubblico: chiunque può chiedere chiarimenti e l’impresa in soglia deve rispondere in modo adeguato, oltre a pubblicare una rendicontazione annuale. In Svizzera, dal 2023 sono operative due diligence e reporting su minerali da conflitto e lavoro minorile (artt. 964j–964l CO e ordinanza DDTrO), con obblighi proporzionati e focus settoriale. Questi regimi non si sovrappongono alla CSDDD in modo perfetto, ma dialogano: un gruppo che già rispetta questi standard ha un terreno preparato per la messa a terra europea.
Sul versante doganale globale, l’Uyghur Forced Labor Prevention Act degli Stati Uniti introduce una presunzione relativa di lavoro forzato per merci associate alla XUAR o a entità inserite nella UFLPA Entity List. La conseguenza è operativa prima che reputazionale: blocchi all’importazione salvo prova contraria robusta. Per chi esporta negli USA, questo significa rafforzare tracciabilità di secondo e terzo livello, allineare dichiarazioni e dossier probatori agli standard OCSE e OIL, e non dare per scontato che la conformità europea sia sufficiente a superare controlli doganali americani.
Un caso tipico — come si organizza un gruppo multinazionale
Immaginiamo un gruppo manifatturiero con filiere in Asia e America Latina, clienti B2B e retail in Europa, e un’esposizione commerciale negli Stati Uniti. Il punto di partenza è la mappa della catena di attività: non l’elenco completo dei fornitori, ma l’individuazione dei nodi dove si concentra la severità del rischio (estrazione, trasformazioni intermedie, logistica critica, trattamenti finali). Su questa base si definiscono priorità, si assegnano responsabilità e si calendarizzano azioni di prevenzione e mitigazione con tempi realistici. In parallelo, si attivano canali per segnalazioni circostanziate, si integra il piano di transizione climatica con target e investimenti e si razionalizzano i flussi informativi così che i dati raccolti per la CSRD alimentino anche KPI e reporting CSDDD, senza creare duplicati.
Una scelta spesso decisiva riguarda la contrattualistica. Le clausole su audit, tracciabilità e rimedi devono essere coerenti lungo la filiera e allineate alle linee guida che la Commissione pubblicherà nelle due finestre del 2027. Questo riduce l’effetto “ping-pong” di richieste disomogenee ai fornitori, migliora la qualità dei dati e rende più credibile — davanti alle autorità e ai clienti — la sostanza del sistema di due diligence.
Tempistiche operative — come pianificare senza rincorrere
Il calendario 2028–2030 consente una pianificazione a tappe, purché reale. Nel 2026–2027 conviene chiudere la mappa dei rischi materiali e avviare i primi cicli di prevenzione/mitigazione nei nodi più severi; tra il 2027 e il 2028 si consolidano governance, canali di segnalazione e monitoraggi, si testano gli accordi con i fornitori e si mette alla prova il piano di transizione con l’allocazione degli investimenti. Dal 2028, per i gruppi nella prima ondata, occorre dimostrare che i meccanismi funzionano; dal 2029 lo standard diventa generale e la comunicazione ex articolo 16 segue i periodi che iniziano dal 1° gennaio 2029 o 2030 a seconda dell’ondata. L’obiettivo non è arrivare con tutto perfetto, ma arrivare con un sistema che apprende, registra, corregge e mostra progressi.
Due avvertenze finali
Una possibile obiezione è che la CSDDD moltiplichi gli oneri. La risposta sta nel disegno “risk-based” e nel ponte con la CSRD: lo sforzo iniziale è significativo, ma evita doppioni e concentra risorse dove il rischio è più grave. Un secondo equivoco riguarda l’idea che basti “caricare” policy e dichiarazioni sul sito. Il testo, le soglie e le sanzioni dicono altro: valgono i processi effettivi, la tracciabilità dei dati, la coerenza tra acquisti, operations e comunicazione. In pratica, la due diligence diventa parte della resilienza aziendale, non un capitolo a piè di pagina.
