Se gestisci un'azienda IT — che tu stia sviluppando software, erogando servizi gestiti o integrando sistemi — prima o poi ti trovi davanti a una domanda scomoda: quali certificazioni ti servono davvero? I clienti enterprise chiedono la ISO 27001 prima ancora di aprire una trattativa. I partner europei vogliono sapere se hai un sistema di gestione della privacy certificato. Un bando pubblico richiede la ISO 9001. E poi c'è chi parla di ISO 42001 per l'AI, di NIS2, di SOC 2. In questo articolo ti guido attraverso il panorama reale per aiutarti a costruire una roadmap di certificazione sensata — che tu sia una software house da dieci persone o un managed service provider strutturato.
L'ecosistema delle certificazioni per il settore IT
Il mercato IT è probabilmente quello in cui la pressione verso le certificazioni è cresciuta di più negli ultimi cinque anni. Le ragioni sono tre. La prima è commerciale: molti bandi pubblici e privati richiedono certificazioni come requisito di partecipazione. La seconda è fiduciaria: i clienti strutturati vogliono una garanzia terza e indipendente che i tuoi processi siano sotto controllo. La terza è normativa: NIS2, DORA, AI Act e GDPR hanno trasformato la gestione del rischio IT da scelta volontaria ad obbligo regolatorio per molti attori.
Le certificazioni rilevanti per il settore IT si raggruppano in tre aree:
- Sicurezza delle informazioni e privacy: ISO 27001, ISO 27701, SOC 2, CSA STAR
- Gestione dei servizi IT: ISO 20000-1, ITIL (framework, non certificazione aziendale)
- Qualità e maturità dei processi: ISO 9001, CMMI
- Intelligenza artificiale: ISO/IEC 42001
La scelta non è tra queste certificazioni, ma sulla sequenza e la combinazione giusta per la tua realtà. Certificarsi su tutto contemporaneamente è possibile ma sconsigliabile: ogni sistema di gestione richiede risorse per implementarlo e mantenerlo. La regola pratica è: parti da dove il mercato ti spinge, poi aggiungi ciò che ti serve per crescere.
ISO 27001: il punto di partenza per la sicurezza
Se dovessi indicare una sola certificazione da cui iniziare per qualsiasi azienda IT, sarebbe la ISO/IEC 27001. È lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS) ed è diventata il passaporto per lavorare con clienti di un certo livello.
La versione attuale è la ISO/IEC 27001:2022, che ha ridisegnato i controlli dell'Allegato A portandoli a 93 (rispetto ai 114 della versione 2013), organizzati in quattro categorie: controlli organizzativi, persone, fisici e tecnologici. Le novità più significative riguardano la threat intelligence, la sicurezza delle informazioni per i servizi cloud e la continuità della sicurezza ICT.
Implementare la ISO 27001 in un'azienda IT significa fare una valutazione sistematica dei rischi sulle tue informazioni e su quelle dei clienti, scegliere i controlli appropriati per mitigare quei rischi, documentare le scelte e i processi, e sottoporsi ad audit periodici da parte di un ente accreditato. Non è un esercizio puramente documentale: i controlli devono essere realmente implementati e il personale deve conoscerli e applicarli.
Un aspetto che spesso sorprende è il concetto di Statement of Applicability (SoA): un documento in cui l'organizzazione dichiara quali controlli dell'Allegato A ha scelto di applicare, quali ha escluso e perché. È uno degli artefatti più importanti del sistema e uno di quelli che l'auditor esamina con più attenzione.
I tempi per ottenere la ISO 27001 variano molto in base alle dimensioni e alla maturità dell'azienda. Una software house da 20-30 persone, partendo da zero, può aspettarsi un percorso di 6-12 mesi prima dell'audit di certificazione. I costi includono la consulenza, la formazione del personale, gli eventuali investimenti tecnologici e le tariffe dell'ente di certificazione — che per una PMI si aggirano tipicamente tra i 5.000 e i 15.000 euro per l'audit iniziale.
La relazione tra ISO 27001 e NIS2 è diretta: la Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, ha ampliato il perimetro dei soggetti obbligati a misure di cybersicurezza includendo esplicitamente i fornitori di servizi digitali e gli MSP. Implementare la ISO 27001 è uno dei percorsi più robusti per dimostrare conformità agli obblighi della direttiva, anche se la certificazione non è formalmente richiesta.
ISO 27701: privacy by design certificata
La ISO/IEC 27701:2019 è un'estensione della ISO 27001 specificamente pensata per la gestione delle informazioni sulla privacy. Non è una certificazione autonoma: si ottiene come estensione della 27001, presupponendo un ISMS già certificato o certificando i due sistemi in modo integrato.
La norma definisce un Privacy Information Management System (PIMS) e introduce requisiti aggiuntivi per chi tratta informazioni personali identificabili (PII), sia come titolare del trattamento che come responsabile. Per le aziende IT che sviluppano software SaaS, gestiscono infrastrutture cloud per i clienti o offrono servizi di outsourcing IT, la 27701 è particolarmente rilevante: mappa in modo esplicito i requisiti con il GDPR europeo, facilitando la dimostrazione di conformità normativa.
In pratica, la ISO 27701 ti chiede di identificare tutti i processi che coinvolgono dati personali, valutare i rischi specifici per la privacy, implementare controlli adeguati (gestione delle richieste degli interessati, notifica delle violazioni, valutazione d'impatto) e definire chiaramente i ruoli tra la tua azienda e i tuoi clienti. Se sei un responsabile del trattamento per i tuoi clienti — cosa vera per la maggior parte di chi eroga servizi cloud o gestiti — la 27701 ti dà uno strumento strutturato per dimostrare di fare la tua parte.
La certificazione congiunta 27001+27701 è sempre più richiesta nei contratti enterprise, specialmente nel settore pubblico e in ambiti regolamentati come banche, assicurazioni e sanità. L'investimento incrementale rispetto alla sola 27001 è relativamente contenuto, a condizione di avere già identificato e documentato i flussi di dati personali nell'organizzazione.
ISO 20000-1: IT service management
La ISO/IEC 20000-1:2018 è lo standard internazionale per il Service Management System (SMS) — la gestione strutturata dei servizi IT. È la norma di riferimento per i Managed Service Provider, le organizzazioni IT interne che erogano servizi ad altre divisioni e qualsiasi realtà che voglia dimostrare di gestire i servizi IT in modo professionale.
La 20000-1 si applica a chi gestisce un service desk, monitora infrastrutture IT per conto terzi, gestisce incidenti e problemi in modo sistematico, pianifica la capacità e la disponibilità dei sistemi e governa le relazioni con i fornitori della catena di servizi. Richiede processi ben definiti per la gestione delle modifiche, dei rilasci, della continuità del servizio e dei livelli di servizio (SLA).
Un errore comune è pensare che la 20000-1 sia la versione ISO di ITIL. Non è così: ITIL è un framework di best practice per la gestione dei servizi IT, mentre la 20000-1 è uno standard di sistema di gestione certificabile. Le due cose sono compatibili e spesso complementari, ma distinte. Puoi usare ITIL come riferimento metodologico nell'implementazione della 20000-1, ma non è obbligatorio.
Per un MSP italiano di medie dimensioni, la ISO 20000-1 può aprire porte nel mercato enterprise e nella pubblica amministrazione, dove la dimostrazione di un service management strutturato è sempre più richiesta. La norma è allineata alla struttura HLS comune alle principali norme ISO di sistema di gestione, il che semplifica l'integrazione con ISO 9001 e ISO 27001.
ISO/IEC 42001: governance dell'AI
La ISO/IEC 42001:2023 è la prima norma internazionale per i sistemi di gestione dell'intelligenza artificiale (AIMS). Pubblicata a fine 2023, è ancora agli albori della diffusione, ma rappresenta il futuro della regolamentazione dell'AI in ambito aziendale — soprattutto alla luce dell'AI Act europeo, entrato in vigore nel 2024.
La 42001 si rivolge a due tipi di organizzazioni: i provider di sistemi AI (chi sviluppa, addestra e distribuisce modelli e applicazioni di AI) e i deployer (chi utilizza sistemi AI nei propri processi). Se la tua software house integra modelli di AI nei suoi prodotti — anche solo usando API di modelli di terzi — sei probabilmente nella categoria deployer.
La norma richiede di identificare i sistemi AI in uso, valutare i rischi specifici dell'AI (bias, trasparenza, spiegabilità, sicurezza), stabilire politiche di gestione responsabile dell'AI e assicurare che il personale abbia le competenze necessarie. C'è anche un focus sull'impatto sugli stakeholder — inclusi gli utenti finali dei sistemi AI che sviluppi o utilizzi.
Chi si certifica oggi sulla 42001 ha un vantaggio competitivo chiaro: è tra i primi ad avere una certificazione terza sulla governance dell'AI. In un contesto in cui i clienti sono sempre più sensibili al tema dell'AI responsabile — e in cui l'AI Act imporrà obblighi specifici alle organizzazioni che sviluppano sistemi ad alto rischio — questa certificazione può diventare un elemento di differenziazione molto concreto. La 42001 è progettata per essere integrata con ISO 27001 e ISO 9001, con cui condivide la struttura HLS.
SOC 2 e CSA STAR: certificazioni di mercato
SOC 2 (Service Organization Control 2) non è uno standard ISO ma un framework di attestazione sviluppato dall'American Institute of CPAs (AICPA). Si applica principalmente ai fornitori di servizi cloud e SaaS che gestiscono dati dei clienti. Un rapporto SOC 2 attesta che l'organizzazione ha controlli adeguati relativi a sicurezza, disponibilità, integrità del processing, riservatezza e privacy (i cinque Trust Service Criteria).
Esistono due tipi di rapporto SOC 2: il Type I verifica che i controlli siano adeguatamente progettati in un momento specifico; il Type II verifica che i controlli abbiano funzionato in modo efficace nel corso di un periodo (tipicamente 6-12 mesi). I clienti enterprise americani tendono a richiedere SOC 2 Type II come standard minimo per i fornitori cloud. Se punti al mercato USA, SOC 2 è quasi inevitabile in parallelo o come alternativa alla ISO 27001.
CSA STAR (Cloud Security Alliance Security, Trust, Assurance and Risk) è un programma di assurance specifico per i fornitori di servizi cloud. Si articola su tre livelli: il Level 1 è un'auto-valutazione compilando il CAIQ (Consensus Assessments Initiative Questionnaire); il Level 2 combina la ISO 27001 con i controlli CSA Cloud Controls Matrix (CCM), verificati da una terza parte; il Level 3 è una valutazione continua basata su monitoraggio in tempo reale. Per le aziende cloud europee che vogliono differenziarsi nella sicurezza, CSA STAR Level 2 è il riferimento crescente.
CMMI: il modello di maturità per lo sviluppo software
CMMI (Capability Maturity Model Integration) è un modello di maturità dei processi per lo sviluppo e la gestione di software e sistemi. Non è una norma ISO, ma un framework sviluppato dal CMMI Institute (ora parte di ISACA) che descrive le pratiche di gestione dei processi su cinque livelli di maturità, dall'iniziale (livello 1, processi imprevedibili) all'ottimizzante (livello 5, miglioramento continuo basato su dati quantitativi).
CMMI è particolarmente richiesto in tre contesti: contratti con il Dipartimento della Difesa USA (dove storicamente è nato il modello), grandi outsourcer IT (soprattutto indiani e dell'Europa dell'Est) e software house che sviluppano sistemi safety-critical (automotive, aerospazio, difesa). In Italia, il CMMI è meno diffuso della ISO 9001 come certificazione di sistema, ma alcune grandi commesse pubbliche o private lo richiedono esplicitamente.
La valutazione CMMI richiede un'appraisal condotta da un Lead Appraiser certificato e richiede evidenze concrete di pratiche implementate a tutti i livelli previsti. È più costosa e più impegnativa della ISO 9001, ma per chi opera in certi mercati è un differenziatore significativo che dimostra maturità dei processi in modo strutturato e quantitativo.
La roadmap suggerita: da dove partire e in che ordine
La domanda più frequente è: da dove comincio? Non esiste una risposta universale, ma esistono criteri chiari. Il primo è il mercato: cosa chiedono i tuoi clienti attuali e quelli che vuoi acquisire? Se perdi gare per assenza della 27001, quella è la tua priorità. Se vuoi entrare nel mercato PA, probabilmente ti serve prima la 9001. Se i tuoi clienti sono nel finance o healthcare, la 27001+27701 è quasi obbligatoria.
Il secondo criterio è la maturità interna. Certificarsi su qualcosa che non hai ancora padroneggiato a livello di processo è una scorciatoia che si paga cara in fase di audit e nel mantenimento. Prima di certificarti, assicurati di avere processi concreti da certificare.
Una roadmap tipica per una software house in crescita:
- Anno 1 — ISO 27001: la priorità assoluta per qualsiasi azienda IT che voglia lavorare con clienti strutturati. Gestisci dati sensibili: dimostra che li proteggi.
- Anno 2 — ISO 27701: se tratti dati personali per i clienti in modo significativo. L'investimento è marginale rispetto alla 27001 già implementata.
- Anno 2-3 — ISO 9001: se hai esigenze commerciali specifiche (bandi pubblici) o vuoi strutturare meglio i processi di delivery e gestione progetto.
- Anno 3-4 — ISO 20000-1: se sei un MSP o eroghi servizi gestiti come core business.
- Anno 3-5 — ISO 42001: se stai costruendo prodotti con AI o integrando AI nei tuoi servizi in modo significativo.
Per chi punta al mercato USA, SOC 2 Type II va pianificato in parallelo alla ISO 27001, idealmente nel secondo anno. Per chi sviluppa sistemi safety-critical o lavora con grandi contractor internazionali, CMMI merita una valutazione separata in base ai requisiti specifici delle commesse target. Questa sequenza non è rigida: se sei già maturo su alcuni fronti, puoi accelerare o cambiare l'ordine. L'importante è non certificarsi su tutto contemporaneamente senza avere le risorse per farlo bene.
FAQ
Quanto costa in totale certificarsi ISO 27001 per una software house da 15 persone?
Il range realistico è tra i 20.000 e i 45.000 euro per il primo anno, considerando consulenza, formazione, investimenti tecnologici e tariffe dell'ente. La forbice è ampia perché dipende dalla maturità di partenza e dalla complessità del perimetro da certificare.
Posso certificarmi ISO 27001 senza consulenti esterni?
Tecnicamente sì. In pratica, senza esperienza nella norma, il rischio è di commettere errori metodologici che emergono solo in fase di audit. Un buon consulente ammortizza ampiamente il suo costo in termini di tempo risparmiato e qualità dell'implementazione.
La ISO 27001 copre anche il GDPR?
Parzialmente. La 27001 riguarda la sicurezza delle informazioni in senso ampio; il GDPR riguarda specificamente i dati personali. La 27701 è il ponte tra le due. Avere la 27001 dimostra un solido presidio di sicurezza, ma non sostituisce un'analisi di conformità GDPR specifica.
Cosa differenzia SOC 2 dalla ISO 27001?
SOC 2 è più diffuso nel mercato USA e si traduce in un rapporto di attestazione emesso da un revisore indipendente. ISO 27001 è lo standard di riferimento in Europa e si traduce in un certificato. Le due cose non sono equivalenti ma spesso complementari: alcune aziende mantengono entrambe per coprire i mercati dei due continenti.
ISO 42001 è già richiesta dal mercato?
La domanda cresce rapidamente, specialmente nei settori dove l'uso dell'AI è più delicato (finance, healthcare, PA). Se stai costruendo prodotti con AI, inizia a documentare il tuo approccio alla governance dell'AI ora: sarà molto più facile certificarsi quando il mercato lo richiederà con urgenza.