Audit di filiera: quando la compliance sulla carta non basta più

Capita sempre più spesso che un'azienda scopra di avere un problema non al proprio interno, ma lungo la propria catena di fornitura. Irregolarità nei rapporti di lavoro, condizioni non conformi alle norme, subfornitori non dichiarati. Situazioni che, anche quando il committente non le ha generate direttamente, rischiano di ricadere su di lui: sul piano legale, su quello contrattuale, su quello reputazionale.

La domanda che ogni impresa con una rete di fornitori dovrebbe porsi è semplice: se uno dei miei fornitori non rispettasse le norme, potrei dimostrare di aver fatto i controlli necessari?

Non è una domanda retorica. È la domanda che oggi fanno i clienti strutturati, i brand committenti e (in caso di indagine) le autorità. E la risposta non può essere affidata a un codice etico firmato e archiviato, o a un audit fatto una volta e lasciato lì.

Per molto tempo la logica prevalente nei rapporti di filiera è stata: il committente acquista, il fornitore esegue, ognuno è responsabile del proprio perimetro. Questa logica è sempre meno sostenibile.

La Corporate Sustainability Due Diligence Directive (CSDDD, Direttiva UE 2024/1760 in corso di recepimento negli Stati membri entro il 2028) introduce esplicitamente il principio per cui le imprese sono responsabili degli impatti negativi sull'ambiente e sui diritti umani derivanti non solo dalla propria attività diretta, ma anche dalle relazioni commerciali con fornitori e subfornitori. L'effetto pratico non aspetta però il recepimento formale: i grandi brand già oggi traducono questi obblighi in clausole contrattuali, codici di condotta e richieste di audit verso i loro fornitori. Chi fornisce queste imprese deve essere in grado di dimostrare la propria conformità. Il controllo non si ferma al primo anello della catena.

A questo si affianca il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti, strumento con cui la magistratura può coinvolgere le aziende committenti nei reati commessi lungo la filiera. Un Modello 231 assente, o presente solo sulla carta senza effettiva applicazione, amplifica significativamente il rischio di esposizione.

Il punto critico non è sempre la malafede. Spesso è qualcosa di più sottile: avere gli strumenti giusti (codice etico, DVR, modello organizzativo) ma non applicarli davvero. Documenti aggiornati ma non vissuti. Audit formalmente eseguiti ma senza reale capacità ispettiva. Subfornitori censiti ma mai verificati. Questa "compliance di facciata" è, in certi casi, più pericolosa dell'assenza totale di presidio: crea una falsa sensazione di sicurezza e, in caso di contestazione, può essere interpretata come consapevolezza del rischio senza azione conseguente.

Le autorità preposte tendono sempre più a verificare non solo se i documenti esistono, ma se i loro contenuti vengono effettivamente applicati. Avere un codice etico firmato dai fornitori non serve a nulla se non c'è mai stato un controllo su come lavorano. Avere un DVR non è sufficiente se la formazione non è stata erogata. Avere un elenco di subfornitori non vale se nessuno ha mai verificato le loro condizioni operative.

Non sapere (o non voler sapere) non è più una difesa sufficiente. Serve dimostrare di aver fatto ciò che era ragionevolmente possibile per verificare.

Tra tutte le aree di fragilità nelle relazioni di filiera, quella dei subfornitori è storicamente la meno presidiata. Nelle PMI e nelle realtà artigianali, i rapporti di fornitura si costruiscono spesso su fiducia e conoscenza diretta. Il problema è che quella fiducia, da sola, non basta più a tutelare nessuno. Quando un cliente strutturato chiede «chi sono i suoi subfornitori e come li controlla?», la risposta non può essere «li conosco da vent'anni».

Le criticità più frequenti durante gli audit riguardano proprio questo ambito: subfornitori storici non formalmente qualificati, assenza di contratti strutturati, mancanza di autodichiarazioni di conformità, subappalti non comunicati al committente. Elementi che, singolarmente, possono sembrare dettagli amministrativi; insieme, configurano un profilo di rischio elevato (sia verso il proprio cliente, sia in caso di accertamenti).

Conoscere in anticipo i perimetri di un audit è il primo passo per farsi trovare pronti. Le aree di verifica sono consolidate.

Sicurezza sul lavoro - DVR aggiornato e applicato nei contenuti, formazione obbligatoria documentata e tracciabile, gestione dei DPI, sorveglianza sanitaria attiva, nomine dei responsabili, conformità delle attrezzature e valutazione del rischio macchine. Non basta che i documenti esistano: deve essere dimostrabile che si traducono in pratiche concrete.

Ambiente - Autorizzazioni necessarie all'attività, conformità urbanistica, gestione corretta dei rifiuti e degli eventuali sottoprodotti, monitoraggio delle emissioni in atmosfera e degli scarichi, gestione dei gas serra, trasporti ADR, assenza di violazioni o contenziosi pregressi.

Rapporti di lavoro - Regolarità contrattuale, coerenza tra tipologie contrattuali e mansioni effettivamente svolte, documentazione del personale, regolarità contributiva certificata (DURC). Orari, retribuzioni e condizioni lavorative rientrano sempre più esplicitamente nelle verifiche, anche per i fornitori.

Governance - Codice etico adottato e comunicato, organigramma, deleghe operative, Modello 231. E, in quasi tutti i casi, l'elenco aggiornato dei subfornitori con relativa documentazione di qualifica.

La pressione normativa sulla filiera sta producendo un effetto di selezione naturale tra i fornitori. I brand e le grandi imprese soggetti a obblighi di due diligence non possono più lavorare con fornitori che non garantiscono la conformità. Chi ha documentazione aggiornata, processi tracciati e risponde con ordine a una richiesta di audit diventa un partner affidabile e preferibile rispetto a chi non è in grado di dimostrare nulla.

Essere pronti non è solo un modo per difendersi: è un elemento di posizionamento competitivo concreto. Significa poter rispondere sì alla domanda del cliente strutturato, partecipare a gare da cui altri vengono esclusi, dimostrare affidabilità nei fatti e non solo nelle dichiarazioni. Questo vale in modo particolare per le PMI che operano come fornitori di grandi brand nella moda, nell'automotive, nell'agroalimentare, nella logistica e nella gestione dei rifiuti. Ma la traiettoria normativa è chiara: si estenderà progressivamente a tutti i comparti.

Prepararsi a un audit non significa stravolgere la propria organizzazione. Significa avere chiaro lo stato effettivo della propria conformità e mettere ordine dove ci sono lacune.

In pratica: aggiornare e formalizzare l'elenco dei subfornitori e delle lavorazioni esterne (con documentazione per ciascuno); verificare che i contratti con i fornitori includano l'adesione esplicita a un codice di condotta; tenere aggiornata tutta la documentazione di sicurezza; verificare la regolarità ambientale; disporre di documentazione aggiornata sulla regolarità contributiva e contrattuale del personale; introdurre autodichiarazioni periodiche dei subfornitori e audit proporzionati al rischio; valutare l'adeguatezza del proprio Modello 231 rispetto al rischio di filiera.

Un aspetto spesso sottovalutato: se un audit evidenzia una lacuna, la risposta corretta non è negarla, ma contestualizzarla con un piano di azione a tempi definiti e con evidenze documentali a supporto. I brand committenti non si aspettano la perfezione; si aspettano serietà, trasparenza e capacità di rispondere.