Se gestisci un'azienda in Italia, la sicurezza sul lavoro non è solo un obbligo di legge: è un terreno su cui si gioca la reputazione, la continuità operativa e, in alcuni casi, la libertà personale degli amministratori. La domanda più frequente nei corsi per RSPP e datori di lavoro è: «Ma non basta rispettare il D.Lgs. 81/2008?». La risposta breve è no — non basta se vuoi costruire un sistema che funzioni davvero. Ecco cos'è la ISO 45001, perché ha chiuso i conti con la vecchia OHSAS 18001, e perché conviene implementarla.
Cos'è ISO 45001 e perché ha sostituito OHSAS 18001
La ISO 45001:2018 è la prima norma internazionale ISO dedicata ai sistemi di gestione per la salute e la sicurezza sul lavoro (OH&S). Prima della sua pubblicazione, il riferimento era la OHSAS 18001, uno standard privato sviluppato da un consorzio di enti di certificazione. La differenza non è solo formale: OHSAS 18001 era reattiva, orientata principalmente a identificare pericoli e gestire incidenti; ISO 45001 introduce un approccio sistemico e proattivo che parte dal contesto dell'organizzazione.
Il passaggio ufficiale è avvenuto il 12 marzo 2021, data in cui tutte le certificazioni OHSAS 18001 sono cessate di essere valide. Oggi non esiste più alcun percorso di certificazione secondo OHSAS 18001.
Cosa cambia concretamente? La ISO 45001 adotta la High Level Structure (HLS) — la stessa struttura di ISO 9001:2015 e ISO 14001:2015 — rendendola perfettamente integrabile. Introduce la leadership come requisito esplicito (non basta delegare al RSPP), impone l'analisi del contesto, e richiede la partecipazione e consultazione dei lavoratori come elemento portante del sistema.
Requisiti principali: contesto, leadership, partecipazione lavoratori
Clausola 4 – Contesto: devi identificare le parti interessate rilevanti per il sistema OH&S (lavoratori, autorità di vigilanza, appaltatori, comunità locale) e comprendere le questioni interne ed esterne che possono influenzare i risultati: tipo di lavorazione, cultura aziendale, requisiti legali applicabili.
Clausola 5 – Leadership e partecipazione: l'alta direzione deve dimostrare leadership visibile, integrare gli obiettivi di sicurezza nella pianificazione strategica e rendere disponibili le risorse necessarie. La clausola 5.4 impone meccanismi strutturati di consultazione e partecipazione dei lavoratori e dei loro rappresentanti (RLS). Non è sufficiente il solo DVR firmato.
Clausola 6 – Pianificazione: risk-based thinking applicato alla sicurezza. L'organizzazione identifica pericoli, valuta rischi e opportunità OH&S, e definisce obiettivi misurabili con piani d'azione concreti.
Clausola 8 – Controllo operativo: include la gestione degli appaltatori e dei lavoratori esterni — un punto dolente in molte aziende italiane che esternalizzano attività pericolose. La norma richiede di estendere il controllo OH&S anche ai fornitori e alle aziende in appalto.
Clausola 10 – Miglioramento: incidenti, quasi-incidenti e non conformità devono essere analizzati sistematicamente per identificarne le cause radice. Non basta il registro infortuni: serve un processo strutturato di root cause analysis e azioni correttive verificate nell'efficacia.
Valutazione dei rischi e opportunità OH&S
La valutazione dei rischi nella ISO 45001 va oltre il DVR richiesto dal D.Lgs. 81/2008. La norma distingue nettamente tra pericolo (la fonte con potenziale di causare danno) e rischio OH&S (la combinazione di probabilità e gravità). Il processo richiesto comprende:
- Identificazione dei pericoli: sistematica, estesa a tutte le attività, incluse quelle non di routine (manutenzione straordinaria, emergenze, avviamento impianti). La norma chiede di considerare anche i fattori umani: fatica, ritmi di lavoro, lavoro notturno.
- Valutazione dei rischi OH&S: metodo documentato, coerente e ripetibile — matrice probabilità×gravità, FMEA o altra metodologia, applicata sistematicamente.
- Valutazione delle opportunità OH&S: la parte che sorprende chi viene da OHSAS 18001. ISO 45001 chiede di identificare anche le opportunità di migliorare le prestazioni: nuove tecnologie, riorganizzazione dei processi, formazione innovativa.
- Rischi legati al contesto: questioni di contesto e esigenze delle parti interessate che possono influenzare il sistema OH&S.
ISO 45001 e D.Lgs. 81/2008: complementarità, non sovrapposizione
Il D.Lgs. 81/2008 è una norma di legge: definisce obblighi minimi, prescrive documenti specifici (DVR, DUVRI, POS), stabilisce responsabilità penali. È un sistema di compliance: o sei in regola o non lo sei.
La ISO 45001 è uno standard volontario di sistema: non prescrive come fare le cose, ma richiede che tu dimostri di averle pianificate, implementate, monitorate e migliorate sistematicamente. È un sistema di performance, non di compliance.
I punti di contatto sono molti:
- La valutazione dei rischi ISO 45001 (clausola 6.1.2) si sovrappone e può assorbire il DVR del D.Lgs. 81/08
- La gestione degli appaltatori (clausola 8.1.4) integra quanto richiesto dall'art. 26 del Testo Unico (DUVRI)
- Il programma di formazione (clausola 7.2) è coerente con gli obblighi formativi degli artt. 36 e 37 del D.Lgs. 81/08
- La gestione delle emergenze (clausola 8.2) si allinea ai piani di evacuazione
La soluzione più intelligente è integrare i due sistemi, evitando duplicazioni documentali. Chiarimento importante: la certificazione ISO 45001 non esime dal rispetto del D.Lgs. 81/2008 e non riduce le responsabilità penali del datore di lavoro. Ma un sistema ISO 45001 ben implementato rende molto più difficile che un infortunio si verifichi.
Riduzione premio INAIL (modello OT23) con la certificazione
Il modello OT23 consente alle aziende che hanno effettuato interventi migliorativi in materia di sicurezza di ottenere una riduzione del tasso di premio INAIL. La riduzione dipende dal numero di lavoratori assicurati:
| Lavoratori assicurati | Riduzione del premio |
|---|---|
| Fino a 10 | 28% |
| Da 11 a 50 | 18% |
| Da 51 a 200 | 10% |
| Da 201 a 500 | 5% |
| Oltre 500 | 3% |
La certificazione ISO 45001 è uno degli interventi con il punteggio più alto nel modello OT23, spesso sufficiente da sola a raggiungere la soglia minima di 100 punti. Esempio concreto: un'azienda con 80 dipendenti che paga 50.000 € di premio INAIL annuo ottiene una riduzione del 10%, cioè 5.000 € all'anno. In tre anni: 15.000 € — una parte significativa del costo di implementazione e certificazione. La domanda OT23 va presentata entro il 28 febbraio di ogni anno.
ISO 45003: rischi psicosociali - la nuova frontiera
Nel 2021, ISO ha pubblicato la ISO 45003:2021, linea guida dedicata alla gestione dei rischi psicosociali nell'ambito della ISO 45001. Non è certificabile in sé, ma fornisce indicazioni operative per i pericoli psicosociali: stress lavoro-correlato, burnout, mobbing, lavoro isolato, orari imprevedibili, scarsa autonomia.
In Italia, l'art. 28 del D.Lgs. 81/2008 impone già la valutazione dello stress lavoro-correlato, ma nella pratica molte aziende si limitano a somministrare un questionario standardizzato. La ISO 45003 va molto più lontano: chiede di identificare i fattori organizzativi che generano rischio e definire misure di prevenzione primaria che rimuovono quei fattori — non solo interventi sul singolo lavoratore.
Integrazione con ISO 9001 e ISO 14001
La struttura HLS comune permette di costruire un Sistema di Gestione Integrato (SGI) QHSE che condivide:
- Clausola 4: un'unica analisi di contesto per tutti e tre i sistemi
- Clausola 5: una politica integrata QHSE che sostituisce tre politiche separate
- Clausola 7: un unico sistema documentale per documentazione, comunicazione, competenze
- Clausola 9: audit interni integrati e riesame della direzione unico
- Clausola 10: non conformità e azioni correttive in un sistema unificato
Gli enti di certificazione accreditati offrono spesso audit integrati con tariffe vantaggiose — vale la pena chiederlo esplicitamente nella richiesta di offerta. Avvertimento: l'integrazione deve essere intelligente, non meccanica. Ci sono requisiti specifici di ciascuna norma che non possono essere compressi senza perdere efficacia.
Costi, tempi e ROI della certificazione
Ordini di grandezza realistici per una PMI di 50–100 dipendenti:
- Gap analysis iniziale: 1.000–3.000 €
- Consulenza per l'implementazione: 5.000–20.000 €
- Formazione (RSPP, auditor interni, direzione): 2.000–6.000 €
- Audit stage 1 + stage 2 da ente accreditato: 3.000–8.000 €
- Audit di sorveglianza annuali (anni 2 e 3): 1.500–4.000 €/anno
Per una PMI di 60 dipendenti con buon livello di compliance al D.Lgs. 81/2008, il costo totale del primo triennio si aggira tra i 20.000 e 40.000 €. Il ROI non si misura solo sulla riduzione del premio INAIL: considera anche riduzione degli infortuni (costo diretto + indiretto stimato in 3–7 volte il costo diretto), accesso a commesse che richiedono la certificazione, riduzione del rischio penale per i vertici aziendali.
FAQ
La ISO 45001 è obbligatoria in Italia?
No, è uno standard volontario. L'obbligo legale è il D.Lgs. 81/2008. Tuttavia, alcune filiere e clienti la richiedono contrattualmente.
Quanto tempo ci vuole per ottenere la certificazione?
Da 6 a 18 mesi a seconda del punto di partenza. Un'azienda già ben strutturata sul D.Lgs. 81/2008 può arrivare alla certificazione in 6–9 mesi. Chi parte da zero richiede 12–18 mesi.
Posso certificarmi ISO 45001 senza un consulente esterno?
Tecnicamente sì, se hai internamente un RSPP con competenze sulla norma. In pratica, per le prime certificazioni la consulenza esterna riduce i tempi e aumenta le probabilità di superare l'audit al primo tentativo.
Chi può fare l'audit di certificazione?
Solo enti di certificazione accreditati da Accredia o da altri enti firmatari degli accordi IAF/EA. Verifica sempre l'accreditamento su Accredia.it prima di firmare un contratto.
La ISO 45001 copre anche i lavoratori in smart working?
Sì. La norma si applica a tutti i lavoratori, inclusi quelli in telelavoro e lavoro agile. I rischi del lavoro da remoto devono essere valutati e gestiti.
Cosa succede se durante l'audit viene rilevata una non conformità grave?
Una non conformità maggiore comporta il mancato rilascio del certificato o la sua sospensione. L'organizzazione ha di norma 90 giorni per implementare le azioni correttive e sottoporsi a un audit di follow-up.