Se gestisci un'azienda ICT o un dipartimento IT, probabilmente ti sei già trovato a rispondere a questa domanda da parte di un cliente importante: «Siete certificati ISO 20000?». Non è una richiesta burocratica. La ISO/IEC 20000-1 è lo standard internazionale per i sistemi di gestione dei servizi IT (SMS, Service Management System) e l'unica norma di questo tipo che permette una certificazione di terza parte accreditata. Ottenerla significa dimostrare, con evidenza verificabile, che i tuoi processi IT funzionano in modo strutturato, ripetibile e orientato al cliente.
Cos'è ISO 20000-1 e la sua relazione con ITIL
ISO/IEC 20000-1 e ITIL vengono spesso confusi, ma svolgono ruoli molto diversi.
ITIL (IT Infrastructure Library, oggi nella versione 4) è un framework di best practice per la gestione dei servizi IT. Ti dice come fare le cose: come strutturare un service desk, come gestire i cambiamenti. È prescrittivo nei metodi ma non prevede certificazione aziendale: puoi seguirlo in modo parziale o adattarlo. Non esiste un auditor che verifichi se la tua organizzazione è «ITIL compliant».
ISO/IEC 20000-1, invece, è una norma internazionale che definisce i requisiti minimi per un sistema di gestione dei servizi IT. Usa un linguaggio normativo («l'organizzazione deve...») e prevede la certificazione da parte di organismi accreditati. Dice cosa devi raggiungere, lasciandoti libertà su come arrivarci. Molte organizzazioni usano ITIL come metodologia per soddisfare i requisiti della 20000-1, ma non è l'unico modo.
La norma attuale è la ISO/IEC 20000-1:2018, che adotta la struttura HLS condivisa con ISO 9001, ISO 14001 e ISO 27001. Questo facilita notevolmente l'integrazione con questi standard se sei già certificato o in fase di certificazione. Lo scope copre l'intera catena di fornitura dei servizi IT: non solo il provider principale, ma anche i fornitori esterni che contribuiscono all'erogazione.
Struttura della norma e requisiti principali
La ISO 20000-1 richiede un sistema di gestione completo che governi i processi operativi. I requisiti che spesso sorprendono chi si avvicina per la prima volta:
Contesto dell'organizzazione (Clausola 4): analisi del contesto interno ed esterno, identificazione delle parti interessate e definizione dello scope del SMS. La definizione dello scope è uno dei passaggi più delicati: quali servizi copre, per quali clienti, in quali sedi. Deve essere documentata con precisione.
Leadership (Clausola 5): impegno visibile e documentato del top management. Non basta che il CIO sia «d'accordo» con la certificazione: deve dimostrare leadership attiva, assegnare responsabilità chiare, garantire le risorse. La figura del Service Management Leader deve essere formalmente designata.
Pianificazione (Clausola 6): analisi dei rischi e opportunità legati all'SMS, definizione di obiettivi di service management misurabili con piani per raggiungerli.
Supporto (Clausola 7): competenze, consapevolezza del personale, comunicazione interna e documentazione. La norma richiede procedure documentate per tutti i processi chiave, ma non prescrive formati specifici: un wiki aziendale ben strutturato può soddisfare i requisiti tanto quanto un sistema documentale formale, purché sia controllato e aggiornato.
Valutazione delle prestazioni (Clausola 9): monitoraggio, misurazione e analisi dei processi. Audit interni periodici. Riesame della direzione almeno annuale, in cui il top management rivede risultati, non conformità e feedback dei clienti.
Miglioramento (Clausola 10): ogni non conformità segue un processo strutturato: identificazione della causa radice, azione correttiva, verifica dell'efficacia. Il ciclo PDCA deve essere visibile nei processi dell'SMS.
Service Level Management e catalogo dei servizi
Il Service Level Management è tra i processi più visibili per i clienti e tra i più verificati durante gli audit. La norma richiede che gli accordi sui livelli di servizio siano definiti, monitorati regolarmente e che i dati siano usati per identificare aree di miglioramento. Non basta avere un contratto con i livelli di servizio: devi dimostrare che li misuri e che agisci quando li superi.
Il catalogo dei servizi è il documento che descrive tutti i servizi IT erogati, con le relative caratteristiche, SLA, processi di supporto e costi. È lo strumento che rende trasparente il rapporto tra provider e cliente, definendo le aspettative in modo preciso. Un catalogo aggiornato e accessibile ai clienti è uno dei requisiti pratici più evidenti della 20000-1.
Gli SLA devono essere negoziati con i clienti, non imposti unilateralmente. Devono contenere: tempi di risposta e risoluzione per diversi livelli di priorità degli incidenti, disponibilità del servizio (uptime), metriche di performance specifiche per il servizio, processi di escalation, modalità di reporting periodico verso il cliente.
Gestione degli incidenti, problemi e cambiamenti
Incident management: un incidente è qualsiasi evento non pianificato che causa interruzione o riduzione della qualità del servizio. La norma richiede procedure documentate per registrare, classificare, prioritizzare, escalare e risolvere gli incidenti entro i tempi SLA. Ho visto organizzazioni con ottimi tecnici ma senza un sistema di ticketing strutturato: ogni incidente gestito «a memoria» o via email. Con la ISO 20000-1, questa situazione non è sostenibile.
Problem management: se l'incident management spegne gli incendi, il problem management analizza perché continuano a divampare. L'obiettivo è identificare le cause radice degli incidenti ricorrenti e implementare soluzioni definitive. La norma richiede un processo separato, con responsabilità chiare, che produca documentazione sulle cause identificate e sulle azioni correttive. I «known errors» devono essere catalogati per accelerare la risoluzione futura.
Change management: ogni modifica all'infrastruttura IT rappresenta un rischio. La ISO 20000-1 richiede un processo formale con un Change Advisory Board (CAB) o equivalente, procedure per i change di emergenza e una revisione post-implementazione. Un change non autorizzato che causa un downtime è esattamente il tipo di evento che questo processo deve prevenire.
Accanto a questi, la norma copre anche gestione della service continuity, gestione della capacità e della disponibilità, gestione della configurazione (con un CMDB aggiornato) e gestione dei fornitori.
ISO 20000-1 vs ITIL 4: complementarità, non competizione
ITIL 4 e ISO 20000-1 sono strumenti diversi che si completano, non si escludono. ITIL 4 offre un vocabolario condiviso, pratiche dettagliate e orientamento metodologico su come strutturare ogni processo. ISO 20000-1 offre un sistema di gestione con requisiti verificabili e la possibilità di certificazione da terze parti. Usarli insieme significa avere sia la metodologia che la struttura di governance.
Nella pratica, le organizzazioni certificate ISO 20000-1 usano spesso ITIL come framework metodologico sottostante. Le certificazioni personali ITIL (Foundation, Practitioner, Expert) del personale facilitano l'implementazione ma non sono un prerequisito della norma. Potresti essere certificato ISO 20000-1 con personale che non ha qualifiche ITIL individuali — e viceversa.
Certificazione: enti, tempi e costi
La certificazione ISO 20000-1 viene rilasciata da organismi di certificazione accreditati (in Italia da Accredia). Il percorso standard prevede un audit di stage 1 (revisione della documentazione e valutazione della preparazione) e un audit di stage 2 (verifica dell'implementazione dei processi). Successivamente, audit di sorveglianza annuali e rinnovo ogni tre anni.
I tempi di implementazione per un'azienda ICT di medie dimensioni che parte da zero sono tipicamente 8-18 mesi, a seconda della maturità dei processi esistenti. Una gap analysis iniziale fornisce subito una stima più precisa per la situazione specifica.
Il costo dell'intero percorso per un'azienda di 20-50 persone è tipicamente nell'ordine di 15.000-35.000 euro tra consulenza di implementazione, formazione e audit di certificazione iniziale, con costi annuali di sorveglianza di 5.000-12.000 euro. Va messo in relazione al valore dei contratti che la certificazione abilita o rende più competitivi, in particolare nelle gare della Pubblica Amministrazione e con clienti enterprise del settore finanziario e assicurativo.
FAQ
La ISO 20000-1 è obbligatoria per legge?
No, è uno standard volontario. Diventa di fatto obbligatoria quando è richiesta da specifici bandi di gara o da contratti con clienti che la impongono come requisito. Nelle gare PA per servizi IT è sempre più frequente trovarla come requisito obbligatorio o criterio premiante.
Posso certificarmi ISO 20000-1 senza ITIL?
Sì. ITIL è un framework di best practice, non un requisito della norma. Molte organizzazioni implementano la ISO 20000-1 con approcci diversi (DevOps, agile service management). Tuttavia, la conoscenza ITIL del personale facilita notevolmente l'implementazione.
La certificazione copre tutta l'organizzazione o solo una parte?
Lo scope può essere definito in modo flessibile: può coprire tutta l'organizzazione o solo una specifica linea di servizio, una sede o un insieme di clienti. La definizione corretta dello scope è uno degli aspetti più importanti della pianificazione della certificazione.
Qual è la differenza tra la certificazione aziendale ISO 20000-1 e la certificazione personale ITIL?
Sono cose completamente diverse. La certificazione ITIL è una qualifica individuale (Foundation, Practitioner, Expert) che attesta le competenze di una persona. La ISO 20000-1 certifica l'organizzazione, cioè i suoi processi e il suo sistema di gestione. Le due si complementano ma sono indipendenti.