Un container sparito al porto, un carico di componenti contraffatti scoperto solo in produzione, una spedizione bloccata in dogana per settimane. Non sono scenari da film: sono rischi reali per le imprese italiane con supply chain internazionali. ISO 28000 è lo standard che definisce i requisiti per gestire la security nell'intera catena di fornitura.
Cos'è ISO 28000 e i rischi della supply chain moderna
ISO 28000:2022 definisce i requisiti per un sistema di gestione della sicurezza (security management system) applicato alla supply chain. Adotta la struttura HLS comune a tutte le norme ISO di sistema, facilitando l'integrazione con ISO 9001, ISO 14001 e ISO 22301.
Il termine "security" nella supply chain è più ampio di quanto sembri. Non riguarda solo furti e rapine, ma un insieme articolato di minacce:
- Terrorismo e contrabbando: rischio che i canali logistici vengano usati per trasportare materiali pericolosi o finanziare attività illecite.
- Frode e criminalità organizzata: furti in transito, contraffazione documentale, merce contraffatta inserita nella catena.
- Rischi informatici: attacchi cyber ai sistemi di tracking, ransomware che blocca la gestione degli ordini.
- Rischi geopolitici: sanzioni, embarghi, instabilità politica nei paesi di transito.
- Conformità normativa: violazioni doganali, export control, dual-use regulations.
La versione 2022 ha un'impostazione più strategica rispetto alla precedente: invece di prescrivere controlli specifici, definisce un sistema di gestione proporzionato ai rischi, integrato nella governance e orientato al miglioramento continuo. Si applica a produttori, spedizionieri, porti, operatori logistici e importatori.
Requisiti del sistema: risk assessment e security plan
ISO 28000:2022 richiede un sistema di gestione fondato su elementi precisi:
Contesto e leadership. Devi comprendere il contesto interno ed esterno rispetto ai rischi di security, identificare gli stakeholder rilevanti (clienti, fornitori, autorità doganali) e le loro aspettative. Il top management deve guidare la security: non è delegabile al solo responsabile logistico.
Valutazione del rischio security. Il cuore del sistema è un processo strutturato di identificazione, analisi e valutazione dei rischi. Per ogni segmento della supply chain — fornitori, magazzini, trasporti, punti di transito — valuti le minacce plausibili, le vulnerabilità e le conseguenze potenziali. La valutazione deve essere documentata e aggiornata periodicamente.
Obiettivi e pianificazione. Dalla valutazione del rischio derivano obiettivi di security misurabili e piani di azione concreti, con KPI e responsabilità definite.
Controlli operativi. ISO 28000 non prescrive controlli specifici, ma richiede misure proporzionate ai rischi. Le più comuni: screening dei fornitori, controlli di accesso fisico ai magazzini, verifica dell'integrità dei container, sistemi GPS di tracking, piani di risposta agli incidenti.
Valutazione e miglioramento. Monitoraggio degli indicatori, audit interni, riesame della direzione. Anche i quasi-incidenti devono essere investigati e usati per migliorare il sistema.
La gestione dei fornitori merita attenzione specifica: non basta avere un albo aggiornato. Devi valutare sistematicamente la capacità di ciascun fornitore critico di soddisfare i requisiti di security, con criteri documentati e verifiche periodiche.
ISO 28000 e AEO (Operatore Economico Autorizzato): sinergie doganali
Due programmi governativi sono particolarmente rilevanti per le imprese italiane nel commercio internazionale, e ISO 28000 si integra naturalmente con entrambi.
AEO (Authorised Economic Operator) è il programma UE gestito dalle Agenzie delle Dogane. Un'impresa con status AEO ha dimostrato affidabilità doganale e ottiene vantaggi concreti: sdoganamento più rapido, meno controlli fisici, priorità in caso di perturbazioni. In Italia lo rilascia l'Agenzia delle Dogane e dei Monopoli.
Esistono tre tipi: AEO-C (semplificazioni doganali), AEO-S (sicurezza e protezione), AEO-F (combinata). Per supply chain internazionali significative, AEO-F è il traguardo più completo. I requisiti includono storia doganale pulita, solvibilità finanziaria e — per AEO-S e AEO-F — standard specifici di sicurezza fisica. Un sistema ISO 28000 implementato è un argomento molto forte durante la valutazione AEO.
C-TPAT (Customs-Trade Partnership Against Terrorism) è il programma analogo USA, gestito dalla CBP. È rilevante per chi esporta negli Stati Uniti: molti importatori americani richiedono ai fornitori internazionali la partecipazione a C-TPAT o il rispetto dei suoi criteri di security.
ISO 28000 è riconosciuta come framework coerente con i requisiti di entrambi i programmi: implementare il sistema secondo questo standard facilita sia la candidatura AEO sia la compliance C-TPAT, riducendo la duplicazione di sforzi e documentazione.
C-TPAT, TAPA e altri standard di supply chain security
Oltre ai programmi doganali, esistono altri standard settoriali con cui ISO 28000 può integrarsi.
TAPA (Transported Asset Protection Association) ha sviluppato standard specifici per la sicurezza del trasporto merci ad alto valore: TAPA FSR (Facility Security Requirements) per i magazzini e TAPA TSR (Trucking Security Requirements) per il trasporto su gomma. Sono particolarmente rilevanti per i settori elettronica, farmaceutica e lusso. ISO 28000 e TAPA si integrano bene: la norma ISO fornisce il framework sistemico, TAPA fornisce i requisiti tecnici operativi specifici per il trasporto.
WCO SAFE Framework: il framework dell'Organizzazione Mondiale delle Dogane per la sicurezza e facilitazione del commercio globale è il riferimento normativo internazionale su cui si basano sia AEO sia C-TPAT. ISO 28000 è stata sviluppata in coerenza con il SAFE Framework, rendendola un percorso naturale verso entrambi i programmi.
Per le imprese che operano in più mercati con diversi requisiti di security, ISO 28000 funziona come standard unificante: implementarlo una volta riduce la proliferazione di procedure separate per soddisfare requisiti AEO, C-TPAT, TAPA e richieste dei clienti.
Certificazione ISO 28000: per chi è utile e come ottenerla
Non esiste una soglia dimensionale: ISO 28000 è scalabile. Uno spedizioniere con 30 dipendenti può implementarla con procedure molto più snelle di un operatore logistico con migliaia di addetti. Il punto di partenza è sempre la valutazione del rischio: se i rischi di security della tua supply chain sono significativi, la norma ti dà un framework per gestirli.
Il percorso di certificazione segue le fasi tipiche dei sistemi di gestione ISO: gap analysis iniziale, progettazione del sistema, implementazione (da 6 a 18 mesi a seconda della complessità), audit di stage 1 documentale e audit di stage 2 in situ. La certificazione viene poi mantenuta con audit di sorveglianza annuali e rinnovo triennale.
Per una PMI con supply chain di media complessità, stima un range di 10.000-30.000 euro tra consulenza, formazione e audit iniziale. Il costo va confrontato con il valore delle merci in transito, il costo di un incidente di security e il vantaggio competitivo di operare con status AEO o con una certificazione riconosciuta dai clienti internazionali.
Grazie alla struttura HLS, ISO 28000 si integra in modo naturale con ISO 9001 e ISO 22301. Per chi ha già più sistemi di gestione implementati, il costo marginale di aggiungere ISO 28000 è inferiore rispetto a un'implementazione standalone: governance, audit, documentazione e cultura del miglioramento continuo sono già presenti.
FAQ
ISO 28000 è obbligatoria?
No, è volontaria. Tuttavia i requisiti AEO, le richieste dei clienti nelle supply chain globali e le normative emergenti sulle infrastrutture critiche convergono verso standard analoghi a quelli di ISO 28000.
ISO 28000 copre anche la sicurezza informatica della supply chain?
La versione 2022 include esplicitamente la cybersecurity come componente della security della supply chain. Per una copertura più approfondita, ISO 28000 può essere integrata con ISO 27001 e con gli standard specifici per la supply chain cybersecurity come NIST SCRM o le linee guida ENISA.
La certificazione ISO 28000 aiuta a ottenere lo status AEO?
Sì, in modo significativo. I requisiti di security di AEO-S e AEO-F sono in buona parte soddisfatti da un sistema ISO 28000 ben implementato. Non è una garanzia automatica — AEO richiede anche compliance doganale, solvibilità finanziaria e competenza professionale — ma riduce considerevolmente il lavoro preparatorio.
Quanto tempo richiede l'implementazione?
Per un'azienda che parte da zero, da 9 a 18 mesi. Per chi ha già ISO 9001 o ISO 22301, il percorso si accorcia significativamente perché molti processi di base sono già in place.