Immagina di dover rispondere in tempo reale a questa domanda: «La tua azienda è conforme a tutti gli obblighi normativi applicabili?». Non solo quelli fiscali e giuslavoristici, ma anche ambientali, di sicurezza sul lavoro, privacy, anticorruzione, antiriciclaggio. E quelli contrattuali con i tuoi clienti principali. E i codici etici sottoscritti. Riesci a rispondere con certezza, documentazione alla mano? Se la risposta è «in parte», hai già capito perché la ISO 37301 esiste. È lo standard internazionale che trasforma la compliance da attività reattiva e frammentata in sistema di gestione strutturato, misurabile e certificabile.
Cos'è ISO 37301 e perché va oltre il semplice rispetto delle leggi
La ISO 37301 è stata pubblicata nel 2021 sostituendo la ISO 19600:2014, che era una semplice guida non certificabile. La sostituzione ha introdotto la certificabilità del sistema: un'organizzazione certificata ISO 37301 da un ente accreditato dimostra che il proprio sistema di compliance management è stato verificato da un auditor indipendente — ben diverso dal dichiarare di essersi ispirata a una guida.
Il punto di partenza concettuale è semplice ma potente: la compliance non può essere gestita in modo episodico e reattivo. Richiede un sistema permanente che identifichi gli obblighi applicabili, valuti i rischi di non conformità, predisponga controlli, monitori l'efficacia e si adatti continuamente all'evoluzione normativa. Senza questo sistema, la compliance genera costi elevati in situazioni di crisi senza produrre valore strutturale.
La norma si applica a qualsiasi tipo di organizzazione — imprese private, enti pubblici, associazioni — di qualsiasi dimensione e settore. Adotta la struttura HLS comune alle principali norme ISO, facilitando l'integrazione con ISO 9001, 14001, 45001, 27001 e 37001.
La ISO 37301 distingue tre categorie di obblighi. Gli obblighi normativi — leggi, regolamenti, provvedimenti delle autorità — la cui violazione comporta sanzioni o procedimenti. Gli obblighi contrattuali assunti con clienti e fornitori, che cambiano con ogni contratto e richiedono un processo di revisione sistematico. Gli obblighi volontari assunti aderendo a codici di condotta: pur scelti liberamente, diventano vincolanti nel momento in cui l'organizzazione li sottoscrive e comunica agli stakeholder.
Requisiti: politica di compliance, ruolo del compliance officer, risk assessment
Il cuore operativo è il ciclo continuo di gestione della compliance: identificare gli obblighi, valutare i rischi di non conformità, gestire i rischi con controlli adeguati, monitorare e migliorare continuamente.
La politica di compliance è il documento fondante del sistema: dichiara l'impegno dell'organizzazione alla conformità, definisce gli obiettivi e stabilisce le responsabilità. Non è un documento da tenere nel cassetto: deve essere comunicata attivamente a tutto il personale e aggiornata quando cambiano il contesto normativo o gli obiettivi aziendali.
Il risk assessment di compliance valuta la probabilità e l'impatto di non conformità per ciascun obbligo identificato. Non tutti gli obblighi hanno lo stesso peso: una violazione del GDPR può comportare sanzioni fino al 4% del fatturato globale, mentre la mancata aggiornamento di un documento amministrativo genera solo un'irregolarità formale. La valutazione definisce le priorità di intervento e i controlli da implementare.
La norma richiede una funzione di compliance management con responsabilità chiare, risorse adeguate e accesso diretto al vertice. In organizzazioni strutturate, questa funzione è il Compliance Officer; nelle PMI, può essere un manager interno o un professionista esterno. L'autonomia è fondamentale: il Compliance Officer deve poter riferire senza interferenze al consiglio di amministrazione, anche su questioni che riguardano la stessa direzione. Una funzione che riporta solo all'AD senza accesso diretto al board non offre le garanzie richieste dalla norma.
Differenze e complementarità con ISO 37001 (anticorruzione)
La ISO 37001 è specializzata: si occupa specificamente di corruzione e anti-bribery, con requisiti molto precisi — due diligence anticorruzione, controlli finanziari anti-bribery, funzione di compliance anticorruzione con caratteristiche particolari. È la norma giusta quando il rischio corruttivo è prioritario o quando il mercato richiede specificamente questa certificazione.
La ISO 37301 è generalista: copre tutti gli obblighi di compliance dell'organizzazione, inclusa la corruzione ma non esclusivamente. Non scende nel dettaglio dei controlli anticorruzione con la stessa profondità della 37001, ma offre un framework che governa tutti gli obblighi di conformità.
Le due norme sono complementari, non alternative. La ISO 37301 può essere implementata come sistema generale di compliance management, e la ISO 37001 aggiunta come modulo specializzato per il rischio corruttivo. Grazie alla struttura HLS condivisa, gli elementi comuni — contesto, leadership, politica, obiettivi, audit interno, riesame della direzione — possono essere gestiti una sola volta per entrambe le norme, evitando duplicazioni e riducendo i costi di mantenimento.
ISO 37301 e Modello 231: sovrapposizioni e sinergie
Il D.Lgs. 231/2001 richiede un Modello Organizzativo e di Gestione (MOG) e un Organismo di Vigilanza (OdV): strumenti di diritto italiano con caratteristiche specifiche. La ISO 37301 è uno standard internazionale che definisce come strutturare un sistema di compliance management. Il rapporto tra i due è di complementarità, non di sovrapposizione.
A livello strutturale, il sistema ISO 37301 fornisce l'infrastruttura operativa del MOG: il registro degli obblighi, la valutazione dei rischi, i controlli, la formazione, il whistleblowing, il monitoraggio. A livello di governance, la funzione compliance ISO 37301 e l'OdV hanno ruoli diversi ma complementari: la funzione compliance gestisce operativamente il sistema, l'OdV vigila sull'adozione e l'efficace attuazione del MOG con poteri ispettivi autonomi verso il board.
Per le organizzazioni senza un MOG 231 strutturato, l'implementazione della ISO 37301 può essere il punto di partenza per costruirlo: la mappatura degli obblighi, la valutazione dei rischi e la definizione dei controlli corrisponde in larga misura al lavoro necessario per redigere la parte speciale del MOG per i diversi reati presupposto.
Implementazione pratica e certificazione
Il percorso di certificazione ISO 37301 segue lo schema standard: gap analysis iniziale, mappatura degli obblighi di compliance, valutazione dei rischi, implementazione dei controlli, formazione, audit interno, riesame della direzione, audit stage 1 (documentale) e stage 2 (sul campo), certificato triennale con sorveglianza annuale.
La fase più lunga è tipicamente la mappatura degli obblighi: identificare in modo sistematico tutte le norme applicabili, i contratti in essere e i codici di condotta sottoscritti richiede tempo e competenze. Per una PMI italiana che parte da zero, considera come ordine di grandezza: gap analysis e consulenza 8.000-18.000 euro; audit di certificazione 4.000-10.000 euro; sorveglianza annuale 2.500-6.000 euro. Gli enti attivi in Italia includono Bureau Veritas, DNV, TÜV SÜD, SGS e RINA.
Un consiglio pratico per le PMI: implementa la norma in modo proporzionato alla tua realtà. Una PMI di 30 dipendenti non ha bisogno di un ufficio compliance strutturato con cinque persone. Ha bisogno di un sistema semplice, documentato e realmente applicato. La proporzionalità non è una scusa per fare poco: è il modo intelligente per fare bene.
FAQ
La ISO 37301 è adatta anche alle PMI? Sì, la norma si applica a organizzazioni di qualsiasi dimensione. I requisiti devono essere implementati in modo proporzionato. Una PMI ha bisogno di un sistema semplice, documentato e realmente applicato — non di strutture da grande azienda.
Quanto tempo richiede l'implementazione? Per un'organizzazione che parte da zero, il percorso tipico è 6-12 mesi. Con una base normativa già mappata — ad esempio un'organizzazione già certificata ISO 9001 — i tempi si riducono significativamente.
Quali organismi rilasciano la ISO 37301? La certificazione è rilasciata da organismi accreditati da Accredia in Italia: Bureau Veritas, DNV, TÜV SÜD, SGS, RINA e altri. Verifica che l'ente abbia esperienza specifica in compliance management e sia riconosciuto dai tuoi principali stakeholder.
La certificazione ISO 37301 è riconosciuta nei bandi pubblici? Non esiste ancora uno schema generalizzato di valorizzazione, a differenza di ISO 9001 o 14001. In bandi specifici — settori ad alto rischio di corruzione o dove la compliance è criterio premiante — la certificazione può essere valorizzata. È un'area in evoluzione, con tendenza verso un riconoscimento crescente.
La compliance non è mai stata così complessa come oggi. Nuove direttive europee, nuovi regolamenti, nuovi standard: il flusso normativo non si ferma. La ISO 37301 non elimina la complessità, ma ti dà gli strumenti per gestirla in modo sistematico e dimostrabile — che è esattamente quello che serve quando trasparenza e conformità sono diventate fattori competitivi.