Non importa quanto sia piccola la tua azienda. Se sei nella catena di fornitura di una grande impresa europea, la CSRD ti riguarda già. Non domani: adesso.
C'è una dinamica che si ripete ogni volta che un grande sistema regolatorio colpisce le imprese di dimensione rilevante. Il peso non si ferma dove la norma lo posa. Scivola verso il basso, lungo la catena di fornitura, fino a raggiungere realtà che non avevano nemmeno letto il testo del regolamento. È successo con il GDPR — e molti fornitori di servizi italiani lo hanno scoperto quando il cliente tedesco ha mandato il Data Processing Agreement da firmare entro trenta giorni, o addio contratto. Sta succedendo di nuovo, con una scala e una penetrazione contrattuale molto maggiori.
La Corporate Sustainability Reporting Directive (Direttiva 2022/2464/UE, recepita in Italia con D.Lgs. 125/2024) e la Corporate Sustainability Due Diligence Directive (Direttiva 2024/1760/UE, in fase di recepimento) sono due pezzi di una stessa macchina. La prima impone di misurare e pubblicare. La seconda impone di agire e prevenire. Insieme, ridisegnano la morfologia dei contratti di fornitura come nessuna norma aveva fatto prima.
La CSRD: chi deve rendicontare, da quando
La CSRD ha una logica di entrata in vigore per scaglioni che vale la pena tenere a mente con precisione, perché molte PMI italiane si illudono di essere fuori dal perimetro quando sono già dentro — indirettamente.
Il primo scaglione — le imprese già soggette alla NFRD, cioè i grandi enti di interesse pubblico con più di 500 dipendenti — rendiconta a partire dall'esercizio 2024, con il primo report pubblicato nel 2025. Il secondo scaglione — tutte le altre grandi imprese, cioè quelle che superano almeno due dei tre parametri: 250 dipendenti, 40 milioni di euro di fatturato, 20 milioni di totale attivo — rendiconta dall'esercizio 2025, con pubblicazione nel 2026. Il terzo scaglione — le PMI quotate su mercati regolamentati — dall'esercizio 2026, con pubblicazione nel 2027.
Ma qui la soglia dimensionale inganna. La CSRD impone alle imprese soggette di rendicontare l'impatto ESG lungo tutta la catena del valore, compresi fornitori e subfornitori. Questo significa che la grande impresa che pubblica il suo report di sostenibilità ha bisogno dei tuoi dati: emissioni di scope 3, condizioni lavorative, pratiche ambientali, governance. Se non glieli fornisci, lei non può rendicontare. Se non può rendicontare, rischia sanzioni. Quindi ti chiede — o meglio, ti impone — di raccoglierli e trasmetterli. Il vettore di trasmissione degli obblighi è il contratto.
La CS3D: dalla rendicontazione all'azione
Se la CSRD è l'obbligo di sapere, la CS3D è l'obbligo di fare. La Direttiva 2024/1760/UE — adottata il 24 maggio 2024 dopo un iter travagliato che ha visto slittamenti e compromessi significativi — impone alle grandi imprese europee di identificare, prevenire, attenuare e porre fine agli impatti negativi sui diritti umani e sull'ambiente lungo l'intera catena del valore.
La platea di destinatari diretti è ristretta ma potente: imprese UE con più di 1.000 dipendenti e fatturato mondiale superiore a 450 milioni di euro, con entrata in vigore progressiva a partire dal 2027. Le imprese non UE con più di 450 milioni di euro di fatturato generato nell'Unione rientrano nello stesso perimetro.
Le piccole imprese non sono destinatarie dirette. Ma sono pienamente nel mirino come anello della catena. La CS3D non lascia alle grandi imprese la scelta di come vigilare sui fornitori: impone l'adozione di politiche di due diligence, la mappatura dei rischi nella supply chain, misure correttive in caso di violazione, e — punto decisivo — la terminazione del rapporto contrattuale come ultimo strumento quando le misure correttive falliscono.
Questo non è uno scenario teorico. È la struttura di incentivi che già governa le politiche di procurement delle multinazionali tedesche, francesi e olandesi che applicano in anticipo gli standard CS3D nei loro codici di condotta interni.
I nuovi obblighi contrattuali: cosa stanno già chiedendo i clienti grandi
Chi ha sul tavolo contratti di fornitura con grandi gruppi industriali europei sa già di cosa stiamo parlando, anche se non ha mai letto la CS3D. Le richieste sono arrivate per via contrattuale, spesso senza spiegazione normativa.
Il codice di condotta per fornitori è diventato allegato standard. Non è un documento di principi: è un elenco di obblighi specifici — standard ambientali, condizioni di lavoro, politiche anti-corruzione, divieto di lavoro minorile, soglie di emissioni — con dichiarazione di conformità sottoscritta dal fornitore. La firma vale accettazione di responsabilità contrattuale per la violazione.
I diritti di audit sono la seconda novità strutturale. Le clausole contrattuali attribuiscono al cliente — o a terzi da lui incaricati — il diritto di verificare in loco, con o senza preavviso, il rispetto degli standard ESG. In alcuni contratti il preavviso è di quarantotto ore. I costi dell'audit sono a carico del fornitore trovato non conforme.
Le clausole risolutive per violazione ESG sono la terza e più pericolosa innovazione. Vengono inserite come causa di risoluzione di diritto ai sensi dell'art. 1456 c.c.: la violazione di determinati parametri ESG — una segnalazione su condizioni di lavoro, un'ispezione con esito negativo, un incidente ambientale — costituisce di per sé causa di risoluzione immediata, senza necessità di diffida e senza indennizzo per il fornitore. In alcuni schemi contrattuali anglosassoni — e sempre più in quelli adottati da filiali italiane di gruppi tedeschi — si aggiunge la possibilità per il cliente di trasmettere le informazioni raccolte all'autorità di vigilanza.
Gli obblighi di raccolta e trasmissione dati ESG chiudono il quadro. Il fornitore è tenuto a raccogliere e trasmettere, con frequenza definita contrattualmente, dati su emissioni, consumi energetici, rifiuti, catena di subfornitura. Il tutto secondo standard tecnici — GHG Protocol, ESRS (European Sustainability Reporting Standards) — che richiedono strumenti, competenze e costi che poche PMI italiane hanno già sviluppato.
L'art. 29 CS3D: la responsabilità civile per le vittime
Il punto più rilevante dal punto di vista del rischio legale per le imprese nella catena è l'articolo 29 della CS3D, che introduce un regime di responsabilità civile delle imprese soggette alla direttiva nei confronti delle persone fisiche e giuridiche danneggiate da violazioni degli obblighi di due diligence.
La logica è questa: se una grande impresa era tenuta a identificare un rischio nella supply chain, a prevenirlo e ad agire, e non lo ha fatto, e da questa omissione è derivato un danno — a un lavoratore, a una comunità, a un'impresa concorrente — la vittima può agire in giudizio per il risarcimento del danno.
Il tema delle azioni di responsabilità lungo la catena di fornitura — incluse quelle esercitate da fornitori che si ritengono danneggiati da comportamenti scorretti del committente che non ha ottemperato ai propri obblighi di due diligence — è tuttavia ancora oggetto di dibattito interpretativo in sede di recepimento. I termini di prescrizione, la ripartizione dell'onere probatorio e il perimetro esatto del danno risarcibile saranno definiti dagli Stati membri nell'atto di trasposizione. Il recepimento italiano non è ancora completato al momento di questo articolo (giugno 2026), e il margine di discrezionalità lasciato agli Stati non è trascurabile.
Quel che è certo è che la norma disegna un sistema in cui le omissioni di due diligence hanno conseguenze patrimoniali concrete. Per la prima volta nel diritto europeo, la violazione di standard ESG nella catena di approvvigionamento genera una pretesa risarcitoria esperibile in giudizio — non solo una sanzione amministrativa.
Le sanzioni: 5% del fatturato mondiale
La CS3D affida l'enforcement alle autorità nazionali designate dagli Stati membri e prevede sanzioni amministrative fino al 5% del fatturato netto mondiale dell'impresa violatrice. Non del fatturato italiano: del fatturato globale. Per un gruppo con dieci miliardi di euro di ricavi consolidati, stiamo parlando di una sanzione massima di cinquecento milioni.
La CSRD, sul versante della rendicontazione, prevede sanzioni per omissione o falsità nel report di sostenibilità il cui ammontare sarà definito dagli Stati membri nel recepimento, con la garanzia che siano effettive, proporzionate e dissuasive.
Il punto che riguarda direttamente i fornitori è un altro: la sanzione non colpisce il fornitore inadempiente, ma il cliente grande che non ha vigilato. Questo trasforma l'inadempimento del fornitore in un rischio diretto per il cliente — e spiega perché i clienti grandi si stanno dotando di clausole sempre più aggressive per scaricare contrattualmente il rischio. La catena trasmette gli obblighi verso il basso; le sanzioni rimangono in cima. L'incentivo è asimmetrico.
Cosa deve fare subito un'impresa italiana fornitore di una multinazionale
L'atteggiamento attendista — "aspetto di vedere cosa succede" — è qui più costoso che altrove. Il contratto non aspetta la norma: il codice di condotta è già nell'allegato, la clausola risolutiva ESG è già firmata. Il rischio è già attivo.
Prima mossa: mappare i contratti in essere. Verificare se i contratti con clienti UE sopra soglia contengono già clausole ESG. Spesso sono negli allegati tecnici, nei codici di condotta incorporati per riferimento, nelle purchase order conditions. Occorre sapere esattamente a cosa ci si è impegnati.
Seconda mossa: fare una gap analysis ESG di base. Confrontare le obbligazioni contrattuali già assunte con la situazione effettiva dell'azienda — emissioni tracciate o no, condizioni di lavoro documentate, filiera di subfornitura mappata. Il gap tra quel che è stato firmato e quel che si è in grado di dimostrare è il perimetro del rischio.
Terza mossa: negoziare prima, non dopo. Le clausole ESG nei contratti di fornitura sono negoziabili — non sono sacre. I diritti di audit con quarantotto ore di preavviso e costi a carico del fornitore sono una posizione di partenza, non uno standard di mercato non modificabile. L'obiettivo è bilanciare gli obblighi di raccolta dati con risorse umane e finanziarie proporzionate alla dimensione dell'azienda fornitrice.
Quarta mossa: costruire una struttura documentale minima. Non serve un sistema di management ESG certificato. Serve poter produrre, in caso di audit, evidenza sufficiente su tre o quattro indicatori chiave: emissioni di scope 1 e 2, gestione dei rifiuti, politica lavorativa, meccanismo di segnalazione interno. L'assenza di documentazione è spesso più pericolosa della performance effettiva.
Quinta mossa: inserire nei propri contratti di subfornitura clausole equivalenti. Se sei fornitore di una multinazionale e hai a tua volta fornitori, la responsabilità contrattuale che hai assunto deve essere ripartita lungo la tua filiera. Il flusso degli obblighi ESG si ferma dove la catena contrattuale si ferma — e quel punto è la tua responsabilità.
La CSRD e la CS3D non sono la solita normativa UE che arriva e poi nessuno applica. Sono il cambio di passo che il mercato stesso stava già compiendo — attraverso i fondi ESG, le politiche di procurement dei grandi gruppi, le aspettative degli investitori istituzionali. Le norme hanno formalizzato e reso esigibile giuridicamente quello che le pratiche di mercato stavano già imponendo di fatto.
Chi aspetta il recepimento italiano completo per muoversi ha già perso il primo round. Il contratto che ha firmato la settimana scorsa — quell'allegato di undici pagine che nessuno ha letto fino in fondo — lo ha già messo nel ring.