Nel 2022 l'ANAC ha pubblicato il Piano Nazionale Anticorruzione citando esplicitamente la ISO 37001 come strumento per rafforzare i sistemi di prevenzione. Non è una coincidenza: in tutta Europa, legislatori e grandi organizzazioni guardano sempre più a questo standard come punto di riferimento per una gestione seria e verificabile del rischio corruttivo. Se la tua azienda lavora con la PA, con clienti internazionali soggetti al UK Bribery Act, o stai strutturando il Modello Organizzativo ex D.Lgs. 231/2001, la ISO 37001 merita la tua attenzione.
Cos'è ISO 37001 e il contesto anticorruzione globale
La ISO 37001:2016 è lo standard internazionale per i sistemi di gestione anti-corruzione (ABMS – Anti-Bribery Management System). Fornisce un framework strutturato per prevenire, rilevare e affrontare la corruzione nella sua accezione più ampia: pubblica e privata, attiva e passiva, diretta o attraverso intermediari.
Il quadro normativo italiano è articolato. Il D.Lgs. 231/2001 ha introdotto la responsabilità penale delle persone giuridiche per reati di corruzione commessi da vertici o dipendenti. La Legge 190/2012 ha rafforzato gli obblighi per il settore pubblico. Il D.Lgs. 24/2023 ha imposto a tutte le organizzazioni con più di 50 dipendenti canali di segnalazione degli illeciti. Il D.Lgs. 36/2023 richiede la dichiarazione di assenza di condanne per corruzione nelle gare pubbliche.
In questo quadro, la ISO 37001 non è un adempimento aggiuntivo: è un sistema che integra gli obblighi esistenti in modo coerente, verificabile da un auditor terzo indipendente e accreditato.
Requisiti principali: due diligence, controlli finanziari, segnalazioni
La ISO 37001 adotta la struttura HLS, che facilita l'integrazione con ISO 9001, 14001, 45001, 27001 e 37301. I requisiti specifici che la distinguono dagli altri sistemi riguardano quattro aree principali.
Due diligence su business partner. La norma richiede di valutare il rischio corruttivo associato a fornitori, intermediari, agenti, consulenti e partner prima di instaurare o rinnovare un rapporto. La profondità della due diligence deve essere proporzionata al rischio: un agente che opera in mercati ad alto rischio richiede ben altra procedura rispetto a un fornitore di materiali d'ufficio. Gli elementi tipici includono verifica dell'identità e della struttura proprietaria, ricerca su banche dati di sanzioni, analisi di notizie negative sui media. Tutto va documentato e aggiornato periodicamente.
Controlli finanziari. Molte forme di corruzione passano attraverso transazioni anomale: consulenze senza contenuto reale, commissioni sproporzionate, spese di rappresentanza eccessive. La norma richiede controlli specifici: doppia firma per pagamenti sopra soglie definite, procedure per i pagamenti a terzi, gestione trasparente di doni e ospitalità. Un sistema di autorizzazione a due firme non è solo buona pratica contabile: è un controllo anticorruzione esplicito.
Formazione adeguata. La formazione va calibrata sul ruolo e sul livello di esposizione al rischio. Non basta un corso online generico per tutto il personale: il direttore commerciale che tratta con enti pubblici ha bisogno di contenuti molto più specifici rispetto a un addetto amministrativo interno. Frequenza, contenuti e modalità devono essere documentati e l'efficacia verificata.
Procedure per doni e ospitalità. La norma richiede una procedura chiara che definisca cosa è consentito dare e ricevere, con quale valore massimo, in quali circostanze, con quali autorizzazioni e come viene registrato. Le spese verso funzionari pubblici richiedono particolare attenzione, anche per importi che sembrerebbero modesti.
Uno dei requisiti più caratteristici è la nomina di una funzione di compliance anticorruzione con adeguata autonomia, competenza e accesso diretto al massimo organo di governo. Nelle PMI, il ruolo può essere coperto da un professionista esterno, purché gli vengano garantiti autonomia e risorse necessarie. Il punto critico è l'indipendenza: una funzione che riporta all'AD che deve controllare non ha la necessaria autonomia.
ISO 37001 e D.Lgs. 231/2001: integrazione dei modelli organizzativi
Il D.Lgs. 231/2001 prevede che le organizzazioni possano limitare la propria responsabilità dimostrando di aver adottato un Modello Organizzativo e di Gestione (MOG) e istituito un Organismo di Vigilanza (OdV). La ISO 37001 non sostituisce il MOG 231 ma si integra con esso efficacemente — tanto che la relazione tra le due è trattata in un'appendice informativa della norma.
I reati 231 più direttamente coperti dalla ISO 37001 sono quelli del catalogo corruttivo: corruzione pubblica (art. 25), corruzione tra privati (art. 25-ter), induzione indebita, concussione, corruzione internazionale. Per questi reati, un ABMS certificato costituisce una robusta evidenza dell'effettività del MOG.
In pratica: la parte speciale del MOG relativa ai reati corruttivi può essere costruita sui processi e controlli definiti dalla ISO 37001. Il vantaggio è che questi elementi non restano sulla carta ma sono operativi, verificati da audit periodici e costantemente aggiornati — elementi che la giurisprudenza 231 considera fondamentali per valutare l'effettività del modello.
OdV e funzione compliance ISO 37001 sono figure distinte ma complementari. L'OdV ha funzioni di vigilanza; la funzione compliance ha funzioni operative di gestione del sistema. Una buona pratica è che l'OdV includa tra i propri flussi informativi i report della funzione compliance ISO 37001, per avere una visione integrata.
ISO 37001 e PNA (Piano Nazionale Anticorruzione): PA e società partecipate
L'ANAC nel PNA indica la ISO 37001 come strumento che le organizzazioni pubbliche e le società partecipate possono adottare per rafforzare i sistemi di prevenzione della corruzione. Questo riferimento ha un significato preciso: la ISO 37001 non è solo per le imprese private, ma è uno strumento applicabile anche alla Pubblica Amministrazione e a tutti gli enti che rientrano nel perimetro della normativa anticorruzione pubblica.
Per le società partecipate da enti pubblici, la situazione è particolarmente rilevante. Queste organizzazioni sono soggette sia al D.Lgs. 231/2001 (e quindi devono avere un MOG per i reati presupposto, inclusi quelli corruttivi) sia alle norme anticorruzione della PA (Legge 190/2012 e relativi PTPCT, Piani Triennali di Prevenzione della Corruzione e della Trasparenza). La ISO 37001 offre un framework unico che permette di integrare i due sistemi in modo coerente, evitando la duplicazione di procedure e documenti.
Il RPCT (Responsabile della Prevenzione della Corruzione e della Trasparenza) delle società partecipate può trovare nella ISO 37001 un riferimento metodologico solido per strutturare le misure di prevenzione del PTPCT. La funzione di compliance anticorruzione ISO 37001 e il RPCT hanno ruoli diversi ma possono coordinarsi efficacemente, specialmente nelle organizzazioni di medie dimensioni.
Processo di certificazione e vantaggi concreti
Il processo di certificazione segue lo schema standard: gap analysis, implementazione, audit stage 1 (documentale), audit stage 2 (sul campo), emissione del certificato triennale con audit di sorveglianza annuali.
Per una PMI italiana di 50-150 dipendenti che parte da zero, i costi orientativi sono: consulenza di implementazione 8.000-20.000 euro; formazione 3.000-8.000 euro; audit di certificazione 5.000-12.000 euro; sorveglianza annuale 3.000-7.000 euro. Gli organismi accreditati includono Bureau Veritas, DNV, TÜV, SGS e RINA.
I vantaggi concreti sono misurabili. Il rating di legalità AGCM valorizza l'adozione di sistemi anticorruzione nell'attribuzione delle stelle, con ricadute sull'accesso al credito bancario e sui bandi pubblici. Nelle gare pubbliche, alcune stazioni appaltanti la valorizzano come criterio premiante, e in caso di procedimenti pendenti permette il self-cleaning per l'ammissione alla gara. Le banche con criteri ESG riconoscono la ISO 37001 come evidenza positiva nella dimensione Governance, con potenziale impatto sulle condizioni di finanziamento. Le multinazionali soggette al UK Bribery Act o al FCPA richiedono due diligence sui fornitori: un fornitore certificato ISO 37001 soddisfa gran parte di questi requisiti.
Un consiglio pratico: non iniziare il percorso senza una valutazione del rischio corruttivo specifica per la tua organizzazione. Questo assessment iniziale ti dirà dove sono le vulnerabilità reali e dove concentrare gli sforzi. Implementare la norma senza conoscere il profilo di rischio specifico porta a sistemi formalmente corretti ma sostanzialmente inefficaci.
FAQ
La ISO 37001 è obbligatoria? No, è uno standard volontario. Tuttavia il D.Lgs. 231/2001 richiede implicitamente sistemi di controllo anticorruzione efficaci, e il D.Lgs. 24/2023 obbliga le organizzazioni sopra i 50 dipendenti ad avere canali di whistleblowing. La ISO 37001 fornisce un framework strutturato per soddisfare questi obblighi in modo verificabile.
La ISO 37001 sostituisce il MOG 231? No, sono strumenti complementari. Il MOG 231 è richiesto dal diritto italiano e deve essere adottato con delibera dell'organo dirigente. La ISO 37001 è uno standard internazionale certificabile che rafforza il MOG e ne dimostra l'effettività. L'ideale è averli entrambi, integrati in un sistema coerente.
Serve anche per le aziende che non lavorano con la PA? Sì. La ISO 37001 copre sia la corruzione pubblica che quella privata (art. 25-ter D.Lgs. 231/2001). Aziende in settori con forte pressione commerciale — grande distribuzione, automotive, farmaceutica — possono avere rischi di corruzione privata altrettanto rilevanti.
Quanto tempo richiede l'implementazione? Per un'organizzazione di medie dimensioni che non ha mai strutturato un sistema anticorruzione, il percorso tipico richiede 6-12 mesi. Con un MOG 231 o una base ISO 37301 già esistente, i tempi si riducono significativamente perché molti elementi — contesto, politica, audit interno, riesame della direzione — sono già presenti e vanno solo adattati.