Negli ultimi anni ho seguito diversi progetti di certificazione per aziende di sicurezza privata: istituti di vigilanza, società di security management per contesti ad alto rischio, imprese che proteggono infrastrutture critiche. Ogni volta mi colpisce la stessa cosa: queste organizzazioni gestiscono rischi fisici con grande competenza, ma faticano a strutturare sistematicamente la governance delle loro operazioni. La ISO 18788 nasce per colmare questo gap, coniugando efficacia operativa, rispetto dei diritti umani e conformità normativa.
Cos'è ISO 18788 e a chi si rivolge
La ISO 18788:2015 — Management system for private security operations — Requirements with guidance for use — è lo standard internazionale che definisce i requisiti per un sistema di gestione delle operazioni di sicurezza privata. Sviluppata dall'ISO/TC 292 (Security and resilience), rappresenta la risposta del sistema normativo internazionale alle crescenti preoccupazioni legate all'operato delle società di sicurezza privata nei contesti più delicati.
A chi si rivolge? Lo standard è esplicitamente indirizzato alle Private Security Providers (PSP):
- Istituti di vigilanza privata che operano in Italia ai sensi del Tulps e del D.M. 269/2010.
- Società di security management in contesti internazionali ad alto rischio (zone di conflitto, paesi instabili, aree remote).
- Imprese che proteggono infrastrutture critiche, ambasciate, enti umanitari e organizzazioni internazionali.
- Società che offrono maritime security (protezione di navi commerciali in acque a rischio pirateria).
Un aspetto fondamentale: la ISO 18788 non è una norma tecnica su come svolgere un servizio di guardiania. È uno standard che integra la dimensione operativa con quella etica, richiedendo di dimostrare il rispetto dei diritti umani fondamentali in tutto ciò che si fa.
Requisiti: valutazione rischi, uso della forza, gestione armi, diritti umani
La ISO 18788 segue la High Level Structure comune alle norme di sistema di gestione ISO, con requisiti specifici che riflettono la peculiarità del settore. Tre pilastri fondamentali.
Gestione dei rischi operativi. La norma richiede un processo sistematico di identificazione, valutazione e trattamento dei rischi legati alle operazioni. Ogni operazione deve essere preceduta da un'analisi del rischio situazionale che consideri le minacce presenti nel contesto, le vulnerabilità del sito, gli impatti potenziali e le misure di mitigazione. Un servizio di vigilanza in un centro commerciale di Milano ha un profilo di rischio radicalmente diverso da un servizio di protezione nel Sahel.
Rispetto dei diritti umani. È il cuore etico della ISO 18788. La norma si basa esplicitamente sui Principi Guida delle Nazioni Unite su Imprese e Diritti Umani (Ruggie Framework, 2011) e richiede di: adottare una policy pubblica sui diritti umani approvata al più alto livello; condurre una due diligence per identificare, prevenire e mitigare gli impatti negativi delle proprie attività; disporre di meccanismi di reclamo accessibili; formare il personale sui diritti umani.
Uso proporzionale della forza. La ISO 18788 richiede una policy chiara basata sui principi di necessità e proporzionalità. L'uso della forza è consentito solo quando strettamente necessario e proporzionato alla minaccia. Deve esistere una catena di escalation chiara. Ogni incidente deve essere documentato, segnalato e analizzato. Il personale deve essere addestrato anche su come evitare l'escalation e de-escalare le situazioni di tensione.
Per la gestione delle armi, le procedure devono specificare le circostanze di utilizzo autorizzato, i limiti, le responsabilità di operatori e supervisori, le modalità di custodia sicura, tutto coerente con il diritto applicabile nel Paese di operazione.
ICoCA (International Code of Conduct Association) e il contesto internazionale
Per comprendere pienamente la ISO 18788, è essenziale conoscere due iniziative internazionali che hanno segnato il settore.
Il Montreux Document (2008) è un documento intergovernativo promosso da Svizzera e CICR che afferma gli obblighi degli Stati nei confronti delle società di sicurezza privata che operano in aree di conflitto armato. Non è vincolante, ma ha un peso politico e morale significativo. L'Italia è tra i 58 Paesi aderenti.
L'ICoCA — International Code of Conduct Association — amministra l'International Code of Conduct for Private Security Providers (ICoC). Nata nel 2010, è una piattaforma multi-stakeholder che include governi, società civile e aziende del settore. Le società aderenti si impegnano a rispettare principi etici precisi e a sottoporsi a monitoraggio indipendente.
La ISO 18788 è esplicitamente allineata con il Montreux Document e con l'ICoC: i due strumenti sono stati sviluppati in modo coordinato. In molti contratti internazionali — con governi, organizzazioni internazionali e ONG — la certificazione ISO 18788 e la membership ICoCA sono requisiti espliciti per la qualificazione come fornitore.
Differenze con ISO 28000 e ISO 45001
Vale la pena chiarire come la ISO 18788 si posiziona rispetto agli altri standard più citati nel settore.
La ISO 28000 si occupa di sicurezza della supply chain: identifica i requisiti per un sistema di gestione della security applicato alle catene di fornitura, con particolare attenzione ai rischi logistici (trasporti, magazzini, porti, frontiere). Il suo focus è sulla protezione delle merci e dei processi logistici, non sulla gestione del personale di sicurezza privata. Un'azienda di logistica internazionale troverà più rilevante la ISO 28000; un istituto di vigilanza la ISO 18788.
La ISO 45001 è lo standard per i sistemi di gestione della salute e sicurezza sul lavoro. Si applica a qualsiasi organizzazione e riguarda la tutela dei lavoratori da infortuni e malattie professionali. Per le aziende di sicurezza privata è altamente rilevante — il personale opera spesso in condizioni di rischio elevato — ma copre la salute e sicurezza dei dipendenti, non la gestione delle operazioni verso terzi. Le due norme si complementano: la ISO 18788 per la governance delle operazioni, la ISO 45001 per la tutela del personale.
Certificazione e vantaggi per le aziende di sicurezza privata
Perché investire nell'implementazione e certificazione ISO 18788? I vantaggi sono concreti e misurabili.
Accesso a mercati qualificati. I principali committenti internazionali — governi occidentali, ONU e sue agenzie, organizzazioni umanitarie come UNHCR e MSF — richiedono sempre più spesso la certificazione ISO 18788 o la membership ICoCA come prerequisito. Senza questi requisiti, interi segmenti di mercato diventano inaccessibili.
Riduzione del rischio operativo e legale. Un sistema strutturato riduce la probabilità di incidenti. E quando accadono — perché il rischio zero non esiste — la documentazione sistematica delle procedure dimostra diligenza professionale. Fondamentale in caso di contenziosi legali o indagini.
Differenziazione competitiva. In un mercato saturo con margini compressi, la certificazione ISO 18788 segnala ai clienti che stai operando secondo standard internazionali riconosciuti, non solo rispettando il minimo normativo.
Cultura organizzativa. Costruire un sistema che integra gestione del rischio e rispetto dei diritti umani trasforma la cultura dell'organizzazione. Ho visto aziende che, dopo la certificazione, hanno registrato una riduzione degli incidenti, un miglioramento della soddisfazione del personale e un calo del turnover.
FAQ
La ISO 18788 è obbligatoria per gli istituti di vigilanza italiani? No, è uno standard volontario. In Italia l'attività è disciplinata obbligatoriamente dal D.M. 269/2010 e dalla licenza prefettizia. Tuttavia, alcuni bandi di gara — specialmente di enti pubblici o organizzazioni internazionali — possono richiedere la certificazione come requisito di partecipazione.
La ISO 18788 si applica solo alle operazioni in zone di conflitto? No. Si applica a tutte le operazioni di sicurezza privata, indipendentemente dal contesto. I requisiti acquistano maggiore criticità in contesti ad alto rischio, ma lo standard è progettato per essere scalabile e applicabile anche in contesti ordinari.
Quanto tempo richiede l'implementazione? Per un istituto di vigilanza di medie dimensioni con processi già discretamente strutturati, un percorso completo richiede tipicamente da 12 a 18 mesi. La fase più impegnativa è spesso lo sviluppo delle procedure operative e la formazione del personale.
Quali enti certificano secondo la ISO 18788? La certificazione può essere rilasciata da enti accreditati per questo specifico standard. In Italia, alcuni tra i principali (Bureau Veritas, DNV, TÜV) offrono questo servizio. È importante verificare l'accreditamento specifico.
La ISO 18788 non risolve tutti i problemi del settore della sicurezza privata, ma è uno degli strumenti più potenti per chi vuole operare in modo professionale ed etico. In un settore dove la reputazione vale tutto e gli errori possono avere conseguenze gravissime per le persone, avere un sistema certificato non è un lusso: è una necessità competitiva e morale.