Norme & Compliance · Analisi Normativa

CS3D e Omnibus I: la due diligence di sostenibilità riscritta

La Direttiva (UE) 2024/1760 è in vigore ma già profondamente modificata dal Pacchetto Omnibus I (Dir. UE 2026/470). Cosa rimane degli obblighi originali, chi è ancora soggetto alla norma, cosa cambia su sanzioni e responsabilità civile — e cosa deve fare adesso chi opera nelle catene di fornitura delle grandi imprese.

The Integrity Times · Norme & Compliance · Marzo 2026 · Fonti: Dir. UE 2024/1760 (GUUE 5.7.2024) · Dir. UE 2026/470 — Omnibus I (GUUE 26.2.2026) · EUR-Lex · Commissione Europea · BDO Italia · Solo231.it

Il 25 luglio 2024 è entrata in vigore la Direttiva (UE) 2024/1760 — la Corporate Sustainability Due Diligence Directive, nota come CS3D o CSDDD — che per la prima volta nella storia del diritto europeo ha trasformato la responsabilità sociale d’impresa da obbligo volontario a obbligo legale vincolante. Diciannove mesi dopo, il 26 febbraio 2026, la stessa direttiva è stata significativamente riscritta dal Pacchetto Omnibus I (Dir. UE 2026/470). Il perimetro di applicazione si è ridotto del 97%. Le sanzioni massime sono scese dal 5% al 3% del fatturato mondiale. Il regime armonizzato di responsabilità civile è stato eliminato. Il piano di transizione climatica non è più obbligatorio. Chi deve ancora adeguarsi, cosa rimane da fare e in quali tempi: questo articolo risponde a queste domande partendo dai testi normativi ufficiali.

1. Cos’era la CS3D originale: ratio e obblighi fondamentali

La Direttiva (UE) 2024/1760, adottata dal Parlamento Europeo e dal Consiglio il 13 giugno 2024 e pubblicata in Gazzetta Ufficiale dell’UE il 5 luglio 2024, nasce da un’esigenza precisa: colmare il divario tra le aspettative etiche della società civile e il comportamento reale delle imprese nelle catene di fornitura globali. Il crollo del Rana Plaza a Dacca nel 2013 — oltre 1.100 lavoratori morti in una fabbrica tessile che produceva per marchi europei — è rimasto per un decennio il simbolo del fallimento della responsabilità volontaria.

La CS3D introduce tre doveri fondamentali a carico delle imprese in perimetro: il dovere di diligenza — identificare e valutare gli impatti negativi effettivi e potenziali sui diritti umani e sull’ambiente lungo l’intera catena del valore; il dovere di prevenzione — adottare misure concrete per prevenire o attenuare tali impatti; il dovere di verifica — monitorare periodicamente l’efficacia delle misure adottate e aggiornare le politiche aziendali almeno ogni 24 mesi.

Il processo di due diligence previsto dalla direttiva originale si articola in sei fasi, mutuate dalle Linee Guida OCSE per le imprese multinazionali: integrazione della due diligence nelle politiche e nei sistemi di gestione aziendali; identificazione e valutazione degli impatti negativi; prevenzione, attenuazione e cessazione degli impatti; monitoraggio e verifica dell’efficacia delle misure; comunicazione pubblica; e riparazione degli impatti effettivi.

Il perimetro originale della CS3D — Dir. 2024/1760

Imprese UE: più di 1.000 dipendenti e fatturato netto mondiale superiore a 450 milioni di euro
Imprese extra-UE: fatturato netto superiore a 450 milioni di euro generato nell’Unione
Franchising/licenze: accordi con royalties superiori a 22,5 milioni di euro e fatturato mondiale superiore a 80 milioni
Stima imprese coinvolte (UE): circa 50.000
Sanzioni massime: almeno il 5% del fatturato netto mondiale
Responsabilità civile: regime armonizzato europeo (art. 29 Dir. 2024/1760)

2. Il Pacchetto Omnibus I — Dir. UE 2026/470: cosa è cambiato e perché

Il 26 febbraio 2026 il Parlamento Europeo e il Consiglio dell’Unione Europea hanno adottato la Direttiva (UE) 2026/470 — il cosiddetto Pacchetto Omnibus I — pubblicata in GUUE lo stesso giorno ed entrata in vigore il 18 marzo 2026. Il provvedimento modifica contestualmente la Direttiva CSRD (2022/2464) e la CS3D (2024/1760), con l’obiettivo dichiarato di ridurre gli oneri amministrativi e rafforzare la competitività del sistema produttivo europeo in un contesto geopolitico instabile.

Le modifiche alla CS3D sono sostanziali e investono quattro dimensioni distinte: il perimetro soggettivo di applicazione, l’architettura della catena del valore, il regime sanzionatorio e la responsabilità civile. Non si tratta di aggiustamenti tecnici: si tratta di una riscrittura dell’impianto normativo che ridisegna il campo di applicazione della direttiva in modo strutturale.

Elemento	CS3D originale — Dir. 2024/1760	Dopo Omnibus I — Dir. 2026/470
Soglia dipendenti (UE)	Oltre 1.000	Oltre 5.000
Soglia fatturato (UE)	€450 milioni mondiale	€1,5 miliardi mondiale
Imprese UE coinvolte (stima)	~50.000	~1.600
Catena del valore	Partner diretti e indiretti	Solo partner diretti (salvo informazioni plausibili su rischi indiretti)
Piano di transizione climatica	Obbligatorio (art. 22)	Eliminato
Responsabilità civile	Regime armonizzato UE (art. 29)	Eliminato — rinvio al diritto nazionale
Sanzioni massime	Almeno 5% fatturato mondiale	Tetto al 3% fatturato netto mondiale
Recepimento Stati membri	26 luglio 2026	26 luglio 2028
Applicazione alle imprese	Dal luglio 2027 (tre scaglioni: 2027, 2028, 2029)	Dal luglio 2029

3. Chi è ancora soggetto: le nuove soglie e il perimetro ridotto

Dopo Omnibus I, la CS3D si applica alle imprese UE con più di 5.000 dipendenti e un fatturato netto mondiale superiore a 1,5 miliardi di euro per due esercizi consecutivi. Per le imprese di paesi terzi, la soglia è riferita al fatturato netto generato nell’Unione Europea. Sono incluse anche le società capogruppo di gruppi che raggiungano collettivamente tali soglie, anche quando la capogruppo stessa non le superi individualmente.

La progressività originaria — che prevedeva l’estensione graduale degli obblighi fino al 2030 anche alle imprese con soglie dimensionali inferiori — è stata abbandonata. Il perimetro attuale è fisso sulle soglie più alte. Le imprese non soggette agli obblighi CS3D acquisiscono peraltro la qualifica di “impresa protetta”, introdotta da Omnibus I: non possono essere obbligate dalle imprese in perimetro a fornire informazioni ESG oltre quanto previsto dai futuri standard volontari VSME, la cui pubblicazione è attesa entro il 19 luglio 2026.

Va però sottolineato un elemento che la comunicazione istituzionale tende a sottovalutare: l’esclusione dal perimetro diretto non equivale all’esclusione dagli effetti pratici della norma. Le imprese in perimetro devono comunque condurre due diligence sui propri partner commerciali diretti — e possono richiedere garanzie contrattuali, verifiche di terzi indipendenti e clausole di compliance nelle forniture. Le PMI italiane che lavorano come fornitori di grandi gruppi soggetti alla CS3D rientrano indirettamente nell’orbita degli obblighi, indipendentemente dalle loro dimensioni.

4. Gli obblighi residui: due diligence, catena del valore e monitoraggio

Omnibus I non ha toccato il nucleo sostanziale della CS3D: l’obbligo di identificare, prevenire e rimediare gli impatti negativi sui diritti umani e sull’ambiente rimane intatto per le imprese in perimetro. Rimangono in vigore l’integrazione della due diligence nelle politiche aziendali, la valutazione periodica dei rischi, l’adozione di misure preventive e correttive, il monitoraggio dell’efficacia e la comunicazione pubblica.

La modifica principale riguarda la profondità della catena del valore: la due diligence obbligatoria si concentra ora sui partner commerciali diretti, con un’estensione ai partner indiretti solo in presenza di informazioni plausibili che suggeriscano rischi specifici. In pratica, l’impresa in perimetro non è più tenuta a mappare sistematicamente l’intera filiera, ma deve attivarsi quando ha ragione di ritenere che impatti negativi si stiano verificando a livelli più profondi della catena.

Rimane in vigore l’obbligo di adottare un codice di condotta che copra diritti umani e standard ambientali, di richiedere ai partner commerciali diretti garanzie contrattuali di conformità e di istituire meccanismi di reclamo accessibili alle persone potenzialmente colpite dagli impatti negativi. Le valutazioni periodiche devono essere condotte almeno ogni 12 mesi e aggiornate in caso di cambiamenti significativi nelle attività o nella catena di fornitura.

5. Sanzioni e responsabilità civile: il regime dopo Omnibus I

Sul fronte sanzionatorio, Omnibus I introduce un tetto massimo del 3% del fatturato netto mondiale dell’impresa per le sanzioni amministrative — in riduzione rispetto al minimo del 5% previsto dalla versione originale. Le linee guida attuative per la determinazione delle sanzioni sono affidate alla Commissione europea, che dovrà pubblicarle in tempi coerenti con il calendario di recepimento. Le decisioni delle autorità nazionali di controllo dovranno comunque essere rese pubbliche per almeno tre anni.

La modifica più rilevante — e più discussa — riguarda la responsabilità civile. La versione originale della CS3D prevedeva all’articolo 29 un regime armonizzato a livello europeo: le vittime di danni causati dalla violazione degli obblighi di due diligence potevano agire in giudizio dinanzi ai tribunali dello Stato membro con diritto al pieno risarcimento. Omnibus I abroga il primo paragrafo dell’articolo 29, eliminando il regime armonizzato e rinviando la disciplina del danno alle normative nazionali dei singoli Stati membri.

Il principio dell’accesso effettivo alla giustizia rimane — gli Stati membri sono tenuti a garantirlo — ma le regole variano ora da paese a paese. In Italia, il riferimento principale è l’articolo 2043 del Codice Civile, che fonda la responsabilità aquiliana sull’onere della prova a carico del danneggiato: chi subisce un danno deve provare il fatto illecito, il nesso causale e il danno. Un sistema più gravoso per le vittime rispetto al regime armonizzato originariamente previsto dalla direttiva.

6. Timeline operativa 2026–2029

18 marzo 2026

Entrata in vigore Omnibus I — Dir. UE 2026/470 produce effetti

19 luglio 2026

Commissione pubblica i principi volontari VSME per le PMI — definizione del limite alle richieste informative di filiera

Settembre 2026

Commissione adotta l’atto delegato di revisione degli ESRS (entro 6 mesi dall’entrata in vigore di Omnibus I)

19 marzo 2027

Scadenza recepimento modifiche CSRD negli ordinamenti nazionali

1° luglio 2027

Commissione adotta gli standard di limited assurance per l’attestazione dei report di sostenibilità

26 luglio 2028

Scadenza recepimento CS3D negli ordinamenti nazionali degli Stati membri

26 luglio 2029

Applicazione CS3D alle imprese in perimetro — decorrenza obblighi effettivi

26 luglio 2031

Prima relazione della Commissione al Parlamento UE sull’efficacia della CS3D — poi ogni cinque anni

7. Implicazioni per avvocati, commercialisti e manager italiani

Per i professionisti italiani che assistono grandi imprese o gruppi con fatturato superiore a 1,5 miliardi di euro, l’agenda operativa è chiara: il recepimento italiano della CS3D modificata è atteso entro luglio 2028, ma la preparazione non può attendere quella scadenza. Le imprese in perimetro che iniziano adesso la mappatura dei propri partner commerciali diretti, la revisione dei contratti di fornitura e l’aggiornamento dei sistemi di gestione del rischio avranno un vantaggio competitivo misurabile rispetto a chi inizierà nel 2027 o 2028.

Agenda operativa — tre priorità immediate per le imprese in perimetro

Verifica del perimetro soggettivo: accertare se l’impresa o il gruppo supera le soglie di 5.000 dipendenti e 1,5 miliardi di fatturato netto mondiale per due esercizi consecutivi. In caso di strutture di gruppo, valutare la posizione della capogruppo.
Revisione contrattuale della filiera diretta: i contratti con i partner commerciali diretti devono incorporare clausole di conformità ai requisiti CS3D — codice di condotta, garanzie contrattuali, meccanismi di audit di terzi. Chi non lo fa adesso subisce un ritardo che difficilmente si recupera in prossimità della scadenza.
Monitoraggio VSME e finestra transitoria PMI: le grandi imprese in perimetro non possono richiedere ai fornitori PMI informazioni oltre quanto previsto dai VSME, ma i VSME non sono ancora pubblicati (attesi luglio 2026). Nella finestra attuale, la pressione sui fornitori tende ad accelerare — occorre calibrare le richieste informative per evitare contestazioni successive.

Per i commercialisti e i consulenti ESG che assistono imprese uscite dal perimetro diretto per effetto di Omnibus I, il messaggio è diverso ma non meno urgente: l’esclusione legale non equivale all’esclusione dalle aspettative di mercato. Investitori istituzionali, banche e grandi clienti applicano già oggi criteri ESG nelle proprie valutazioni di controparte, indipendentemente dai requisiti normativi. La compliance volontaria di oggi è frequentemente la compliance obbligatoria di domani.

Sul fronte della responsabilità penale e amministrativa delle imprese, l’intersezione con il D.Lgs. 231/2001 rimane rilevante anche dopo Omnibus I. I reati ambientali già inclusi nel catalogo 231 non sono stati toccati dalla direttiva. Un’impresa che elimina il proprio piano di transizione climatica — potendo invocare la rimozione dell’obbligo da parte di Omnibus I — non è automaticamente esonerata dalla vigilanza sull’impatto climatico delle proprie attività ai fini del 231. I Modelli Organizzativi di Gestione e Controllo (MOG) devono essere aggiornati tenendo conto di questa intersezione normativa, che nessun aggiornamento europeo ha formalmente modificato.

Omnibus I non ha semplificato la CS3D: l’ha ridisegnata. Passare da 50.000 imprese obbligate a 1.600 non è una riduzione degli oneri amministrativi — è una scelta politica che riduce del 97% il perimetro di una norma costruita in dieci anni. La semplificazione tecnica si misura in procedure; questa si misura in esenzioni. La differenza non è semantica.

— Osservazione editoriale, The Integrity Times

Fonti e riferimenti normativi

Direttiva (UE) 2024/1760 del Parlamento Europeo e del Consiglio del 13 giugno 2024 — GUUE L, 2024/1760, 5.7.2024 — EUR-Lex
Direttiva (UE) 2026/470 del Parlamento Europeo e del Consiglio del 24 febbraio 2026 — Pacchetto Omnibus I — GUUE 26.2.2026 — EUR-Lex
Commissione Europea — Corporate Sustainability Due Diligence — commission.europa.eu
BDO Italia — Come il Pacchetto Omnibus I ha modificato la CSRD e la CS3D — marzo 2026 — bdo.it
Solo231.it — Direttiva 470/2026/UE: nuove prospettive per la compliance ESG — marzo 2026 — solo231.it
MediaLaws — Gli obblighi di sostenibilità nell’UE dopo la riforma del Pacchetto Omnibus I — marzo 2026 — medialaws.eu
Osservatorio Bilanci Sostenibilità — Omnibus I, il Consiglio UE approva la semplificazione di CSRD e CS3D — febbraio 2026 — osservatoriobilancisostenibilita.it
Commercialista Telematico — Direttiva (UE) 2026/470: l’UE frena gli obblighi ESG per salvare la competitività — marzo 2026 — commercialistatelematico.com
D.Lgs. 8 giugno 2001, n. 231 — Disciplina della responsabilità amministrativa delle persone giuridiche — normattiva.it