Con la Direttiva N. 470 del 24 febbraio 2026 (parte del cd. “Pacchetto Omnibus I”), l’Unione Europea interviene in maniera incisiva sulla compliance ESG, andando a emendare – fra le altre cose – le direttive nn. 2013/34, 2022/2464 (Corporate Sustainability Reporting Directive, “CSRD”) e 2024/1760 (Corporate Sustainability Due Diligence Directive, “CSDDD” o “CS3D”).
Mediante questa novella, il legislatore europeo tenta di ridurre gli oneri di rendicontazione di sostenibilità, pur mantenendo fermi i target fissati dal “Green Deal Europeo” e dal “Piano d’azione sulla finanza sostenibile”. Tale obiettivo viene perseguito attraverso due principali linee d’intervento: 1) la riduzione dei soggetti obbligati al report di sostenibilità; 2) la riduzione dei soggetti obbligati alla due diligence ESG.
Pur considerando le limitazioni appena richiamate, la compliance ESG rimane un elemento centrale di governance aziendale, non solo per le società obbligate al reporting e alla due diligence: le società lungo la “catena del valore” dei soggetti obbligati alla reportistica di sostenibilità saranno chiamate a rendere informazioni a carattere ESG, seppur mediante l’utilizzo di principi “semplificati” di rendicontazione. Ne discende, in una prospettiva di compliance integrata, l’opportunità di una mappatura dei “rischi ESG”, la quale presenta molteplici punti di contatto e contiguità con la mappatura dei “Rischi 231”.
1. Premessa. La ratio della Direttiva 470/2026/UE
L’evoluzione della compliance ESG è avvenuta mediante un percorso che, da un interesse prevalentemente accademico e volontario, è approdato a un sistema di obblighi normativi stringenti per le imprese. Tale percorso ha preso avvio nel 2013 con la Direttiva 2013/34/UE che, pur non essendo specificamente dedicata alla sostenibilità, ha introdotto i primi obblighi per determinate categorie d’imprese di analisi su aspetti ambientali e sociali (da includersi nella relazione sulla gestione), fungendo così da precorritrice di una disclosure più strutturata.
L’anno successivo, la Direttiva 2014/95/UE (“Non financial reporting Directive”) ha sancito l’obbligatorietà della disclosure non finanziaria per gli enti di interesse pubblico di grandi dimensioni (più di 500 dipendenti).
La ragione sottesa a questo nuovo obbligo normativo risiedeva nella crescente domanda, da parte della comunità degli investitori e degli altri portatori d’interessi, di informazioni di carattere non finanziario di imprese di rilevanti dimensioni (quali, ad esempio, politiche a tutela dei diritti umani e del diritto ambientale).
Tali soggetti necessitavano di dati affidabili, pertinenti e comparabili per comprendere e valutare i rischi e le opportunità legati alla sostenibilità, accrescere la propria fiducia e orientare le proprie decisioni d’investimento. La comunicazione di tali informazioni è stata riconosciuta come fondamentale per gestire la transizione verso un’economia globale sostenibile, coniugando la redditività a lungo termine con la giustizia sociale e la protezione dell’ambiente.
Questo passaggio ha segnato l’inizio di un percorso normativo in continua evoluzione, che ha raggiunto il proprio apice con le successive Corporate Sustainability Reporting Directive (CSRD) e Corporate Sustainability Due Diligence Directive (CS3D) che hanno ulteriormente ampliato l’ambito di applicazione soggettivo degli obblighi di reporting e introdotto l’obbligo di due diligence (non solo interna) in materia di sostenibilità.
Tuttavia, pur riconoscendo – per le anzidette ragioni – l’importanza delle informazioni di carattere non finanziario, la legislazione europea ha sempre percepito la necessità di sviluppare un sistema rispettoso di un delicato ma fondamentale bilanciamento d’interessi: da un lato, la necessità di obbligare le grandi imprese a rendicontare sull’impatto della loro attività sulle persone, sull’ambiente nonché il loro impegno nelle questioni sociali e ambientali; dall’altro, non gravare eccessivamente la loro attività d’impresa con obblighi eccessivamente stringenti che potessero avere effetti negativi sulla competitività.
V’è, peraltro, un ulteriore profilo di rilievo connesso agli obblighi di rendicontazione di sostenibilità.
Molte imprese, anche medio-piccole, pur non essendo direttamente obbligate a redigere un report di sostenibilità, potrebbero trovarsi coinvolte, seppur indirettamente, dalla rendicontazione stessa. Si pensi, ad esempio, allo standard di rendicontazione ESRS[1] S2, il quale disciplina gli obblighi informativi relativi a impatti rilevanti, rischi e benefici sui lavoratori impiegati nella catena del valore[2] quali, ad esempio, lavoratori di un fornitore.
Ecco, è evidente che un fornitore potrebbe trovarsi “sommerso” da richieste di informazioni in materia ESG dalla società committente/soggettivamente obbligata al report di sostenibilità, in quanto soggetto coinvolto nella “catena del valore” dell’impresa obbligata.
Richieste d’informazioni che, sovente, potrebbero rivelarsi sproporzionate rispetto alle attività e alle dimensioni (ergo, alle conoscenze e agli standard di compliance) di fornitori di più modeste dimensioni: trattasi del cd. “effetto a cascata” che le grandi imprese potrebbero “imporre” alle imprese più piccole presenti nelle loro catene del valore, richiedendo loro una mole eccessiva di dati al fine di poter adempiere agli obblighi di rendicontazione previsti dagli standard ESG applicabili.
Proprio per queste ragioni di proporzionalità e gradualità, già la Direttiva CSRD aveva previsto lo sviluppo di principi di rendicontazione di sostenibilità specifici e pertinenti per le imprese di minori dimensioni.
In tal solco s’inserisce, altresì, la successiva Direttiva UE 2025/794 (cd. Direttiva “Stop the clock”), che aveva posticipato l’entrata in vigore degli obblighi in materia di rendicontazione di sostenibilità e di due diligence per una folta platea di imprese (es. grandi imprese che non costituiscono enti di interesse pubblico e che hanno più di 500 dipendenti; PMI quotate, enti creditizi piccoli e non complessi). Nella medesima direzione si colloca la Direttiva Omnibus I, oggetto del presente contributo, la quale ha ulteriormente ridotto (nel senso di cui infra) gli obblighi in materia ESG.
2. Le modifiche in materia di reporting e due diligence ESG
In primo luogo, la Direttiva 2026/470/UE restringe la platea dei soggetti obbligati alla redazione del report di sostenibilità.
Ai sensi della nuova disciplina, trattasi delle imprese che, alla data di chiusura del bilancio, presentano ricavi netti delle vendite e delle prestazioni superiori ai 450 milioni di euro e che abbiano più di 1.000 dipendenti occupati durante l’esercizio (criteri analoghi vengono previsti per le imprese avente sede legale al di fuori del territorio dell’Unione ma che operano nel mercato interno). Pertanto, il nuovo ambito applicativo soggettivo dell’obbligo di reporting è fondato esclusivamente su specifiche soglie dimensionali, indipendentemente dalla qualificazione dell’impresa quale Ente di Interesse Pubblico.
È evidente l’impatto concreto derivante da questa riforma: guardando al panorama nazionale, composto per la stragrande maggioranza da imprese di piccole-medie dimensioni, l’obbligo di reporting ricadrebbe su poche centinaia grandi aziende strutturate.
Altresì, per contenere la portata di quell’ “effetto a cascata” di cui s’è detto nel paragrafo precedente, la Direttiva in commento introduce il concetto di “impresa protetta”, ovvero l’impresa che, non avendo un numero medio di dipendenti superiore a 1000, si trova nella catena del valore di un’impresa obbligata a redigere il report di sostenibilità.
Ebbene, le imprese protette saranno soggette a standard di rendicontazione “semplificati” (“voluntary standards”, che dovranno essere rilasciati dalla Commissione Europea entro il 19 luglio 2026) che dovrebbero essere strutturati in maniera tale da essere “proporzionati e pertinenti alle capacità e alle caratteristiche di tali imprese nonché proporzionati alla portata e alla complessità delle loro attività”.
Inoltre, la Direttiva riconosce alle imprese protette il diritto di rifiutarsi di rendere informazioni ulteriori rispetto a quelle specificate nei principi volontari; qualsiasi disposizione contrattuale (fra società obbligata e società nella catena del valore) contraria sarebbe non vincolante per l’impresa protetta.
Dunque, dalle modifiche in materia di comunicazioni non finanziarie di sostenibilità emerge lo sforzo del legislatore di realizzare in concreto quel bilanciamento d’interessi di cui s’è parlato sopra: confermare l’importanza dei principi ESG pur non sottoponendo le imprese coinvolte a sforzi amministrativi e finanziari sproporzionati. Coerentemente con tale impostazione, per un evidente principio di proporzionalità, vengono sensibilmente ridotte pro futuro le informazioni che dovranno essere comunicate dalle “imprese protette” presenti nella catena del valore d’imprese obbligate.
In relazione, invece, alle modifiche relative la CS3D, giova ricordare che tale Direttiva aveva previsto ulteriori obblighi per determinate categorie d’imprese, chiamate a svolgere un penetrante controllo degli impatti negativi sui diritti umani e sull’ambiente derivanti non solo dalla propria attività, ma da tutta l’attività della propria catena del valore, compresa l’attività dei partner commerciali.
Ebbene, la Direttiva del “Pacchetto Omnibus I” riduce l’ambito soggettivo d’applicazione della CS3D, limitandola alle imprese con più di 5.000 dipendenti e un fatturato medio annuo di almeno 1,5 miliardi. Si abbandona, quindi, la progressività prevista inizialmente dalla CS3D, la quale aveva stabilito (entro il 2030) l’applicazione degli obblighi in essa contenuti anche ad imprese con fatturati/dipendenti inferiori.
Inoltre, si limitano anche in questo campo gli effetti a cascata derivanti dagli obblighi di valutazione e monitoraggio: le imprese soggettivamente obbligate dalla CS3D dovranno svolgere la due diligence ESG (ovvero, il monitoraggio degli impatti negativi lungo tutta la catena di valore) attingendo, in primis, dalle informazioni “ragionevolmente [già] disponibili” sul mercato. Solo nei settori “a maggior rischio” e a “maggior gravità d’impatto” potranno essere richieste informazioni ulteriori ai partner commerciali con meno di 5.000 dipendenti “soltanto qualora le informazioni non possano ragionevolmente essere ottenute con altri mezzi”.
Ai sensi della nuova Direttiva, la società destinataria degli obblighi di due diligence dovrà tentare di arrestare gli impatti negativi su diritti umani/ambiente derivanti dalla propria catena del valore utilizzando tutti i mezzi necessari in collaborazione con i partner commerciali: la possibilità di risoluzione del contratto commerciale viene prevista come extrema ratio.
Da ultimo, merita segnalazione la modifica dell’art. 29 della Direttiva CS3D: articolo che aveva previsto un regime armonizzato di responsabilità civile derivante dal mancato rispetto degli obblighi previsti dalla Direttiva. Ebbene, la Direttiva 470/2026/UE abroga il primo paragrafo della suddetta disposizione (quello che, per l’appunto, prevedeva tale sistema armonizzato), lasciando la disciplina dei danni provocati a presone fisiche/giuridiche in violazione degli obblighi previsti ex lege all’autonomia degli Stati Membri.
3. La compliance integrata: mappatura dei “rischi ESG” e “rischi 231”
Un’interpretazione superficiale della Direttiva del “Pacchetto Omnibus I” potrebbe indurre a ritenere che il legislatore europeo abbia inteso ridimensionare, oltre che semplificare, la rilevanza dei temi ESG nel governo d’impresa. Tale lettura sarebbe, tuttavia, destituita di fondamento o, quantomeno, riduttiva.
Come chiaramente emerge dall’impianto complessivo della riforma, l’Unione Europea non smentisce affatto la centralità dei principi di sostenibilità: al contrario, ne riafferma la valenza sistemica, limitandosi a ridisegnare — in un’ottica di proporzionalità e gradualità — il perimetro soggettivo degli obblighi di rendicontazione e di due diligence.
La riduzione della platea dei soggetti direttamente obbligati non equivale, dunque, a una regressione della cultura ESG, bensì a un tentativo di calibrarne gli oneri rispetto alle effettive capacità degli operatori economici coinvolti.
Del resto, la stessa introduzione della figura dell’“impresa protetta” — soggetta a standard di rendicontazione “semplificati” ma pur sempre chiamata a fornire informazioni di carattere ESG — conferma che le società di minori dimensioni inserite nelle catene del valore continueranno ad essere interessate, seppur indirettamente, dal perimetro applicativo della disciplina.
Dunque, è in questo contesto che si manifesta con piena evidenza l’opportunità di un approccio integrato alla compliance, fondato sulla mappatura congiunta dei “rischi ESG” e dei “rischi 231”. Tale convergenza non è meramente teorica: essa risponde a una logica di razionalizzazione dei presidi di controllo che, nel contesto normativo attuale, rappresenta una scelta strategicamente virtuosa per gli enti che intendano presidiare i propri rischi legali e reputazionali in maniera efficiente e olistica.
In primo luogo, va rilevato che i due sistemi di mappatura condividono una medesima architettura metodologica di fondo: entrambi muovono dall’identificazione delle “aree a rischio” rilevanti per l’ente per poi procedere alla valutazione della loro probabilità e del loro impatto, e alla definizione di misure di controllo e mitigazione (cd. approccio risk–based).
Questa struttura comune rende non soltanto possibile, ma auspicabile, lo svolgimento di un’analisi integrata, capace di valorizzare le sinergie esistenti tra i due ambiti: si pensi, ad esempio, ai reati ambientali presupposto della responsabilità dell’ente ai sensi del D. Lgs. 231/2001 i quali presentano un’evidentissima sovrapposizione con i “rischi E” (Environmental) della mappatura ESG; ovvero, ai reati in materia di sicurezza sul lavoro e ai reati contro la personalità individuale che si intrecciano con i “rischi S” della tassonomia ESG; o ancora, ai reati di corruzione e ai reati societari, che dialogano direttamente con la componente “G” (Governance) dei “rischi ESG”.
La mappatura condivisa genera significativi benefici non solo in termini di efficienza organizzativa e contenimento dei costi di compliance, ma rafforza la capacità dell’ente di intercettare tempestivamente i rischi emergenti nella “catena del valore”.
Come evidenziato nel corso della trattazione, sia la disciplina ESG sia il D. Lgs. 231/2001 richiedono alle imprese di presidiare non soltanto i rischi derivanti dalla propria attività diretta, ma anche quelli originati dai rapporti con soggetti terzi (fornitori, partner commerciali, agenti). In tale prospettiva, la mappatura congiunta consente di costruire un sistema di due diligence integrato lungo la filiera, capace di monitorare in modo olistico i rischi di violazioni ambientali, sociali e di governance che potrebbero, al contempo, configurare reati presupposto ai sensi del D. Lgs. 231/2001.
In conclusione, lungi dal rappresentare un mero aggravio burocratico, la mappatura condivisa dei rischi ESG e dei rischi 231 costituisce un’opportunità concreta per le imprese di costruire un sistema di compliance robusto, coerente e proporzionato, capace di rispondere alle sfide poste dall’evoluzione del quadro normativo europeo e nazionale, e di generare valore durevole per l’organizzazione e per i suoi portatori di interessi.
[1] Trattasi, com’è noto, degli standard per la redazione della rendicontazione di sostenibilità allegati alla direttiva CSRD. Sono così strutturati: 2 standard trasversali (cross-cutting standards); 10 standard tematici (E1 to E6, standard in materia ambientale; S1 to S4, standard in materia sociale; G1, standard in materia di governance).
[2] Definizione contenuta nell’allegato I alla direttiva CSRD, contenente i nuovi standard di rendicontazione ESRS: Catena del valore “La catena del valore comprende le attività, le risorse e le relazioni che l’impresa utilizza e su cui fa affidamento per creare i suoi prodotti o servizi, dalla concezione fino alla consegna, al consumo e al fine vita. Tali attività, risorse e relazioni comprendono: i. quelle che fanno parte delle operazioni proprie dell’impresa, come le risorse umane; ii. quelle nei suoi canali di approvvigionamento, commercializzazione e distribuzione, come l’acquisto di materiali e servizi o la vendita e la consegna di prodotti e servizi; e iii. il contesto finanziario, geografico, geopolitico e normativo in cui l’impresa opera. La catena del valore include attori a monte e a valle dell’impresa. Gli attori a monte (ad esempio i fornitori) forniscono i prodotti o i servizi usati nello sviluppo dei prodotti o dei servizi dell’impresa stessa. I soggetti a valle (ad esempio distributori e clienti) ricevono i prodotti o i servizi dell’impresa. Gli ESRS usano il termine «catena del valore» al singolare, ma è pacifico che l’impresa può avere più catene del valore.”
