ISO 42001: perché la certificazione per la governance AI non è più facoltativa
La maggior parte di chi archivia ISO 42001 nella cartella "adempimenti amministrativi" lo sentirà sotto forma di opportunità persa in qualche riunione commerciale entro il prossimo anno.
Di Hoshi Editorial
La maggior parte di chi archivia ISO 42001 nella cartella "adempimenti amministrativi" lo sentirà sotto forma di opportunità persa in qualche riunione commerciale entro il prossimo anno.
Ecco cosa è concretamente ISO 42001, perché noi di Hoshi stiamo perseguendo la certificazione, e perché dovrebbe interessare ogni PMI che acquista o costruisce sistemi AI oggi.
Cosa è, davvero
ISO/IEC 42001 è il primo standard globale che definisce come stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'intelligenza artificiale. L'espressione "sistema di gestione AI" contiene molto di più di quanto sembri. Non è uno standard tecnico. Non specifica come costruire modelli AI né quali algoritmi utilizzare. Governa il sistema organizzativo e gestionale che circonda l'AI: le politiche, i processi, i ruoli e i meccanismi di supervisione che determinano se l'AI viene distribuita in modo responsabile e sostenibile.
Si pensi a ISO 27001, ma applicato al comportamento dell'AI invece che alla sicurezza dei dati. Dove ISO 27001 certifica che si gestisce la sicurezza delle informazioni, ISO 42001 certifica che si gestisce l'AI: i suoi rischi, il suo impatto sulle persone che tocca, il suo comportamento lungo l'intero ciclo di vita. L'Annex A definisce 38 controlli raggruppati in nove aree, che coprono politiche AI, valutazione dell'impatto, ciclo di vita del sistema AI e governance dei dati.
Perché non è carta
Ecco la parte che dovrebbe catturare l'attenzione di chi gestisce un'azienda.
ISO/IEC 42001 sta diventando un requisito pratico per le aziende AI, poiché acquirenti enterprise, clienti cloud e clienti in settori regolamentati chiedono prove terze che i sistemi AI siano governati, monitorati e documentati. La platea dei certificati è ancora piccola, ma la direzione è chiara. Salesforce ha ottenuto l'accreditamento ISO 42001 per Agentforce, la Einstein AI Platform e Slack AI. AWS ha annunciato la certificazione accreditata per Amazon Bedrock e servizi correlati a novembre 2024, e Anthropic ha seguito a gennaio 2025 come uno dei primi laboratori AI frontier a certificarsi. Quando i vendor della piattaforma su cui si lavora si certificano, l'aspettativa si propaga verso il basso.
I vendor privi di ISO/IEC 42001 rischiano questionari di sicurezza più lunghi, richieste di audit personalizzati, cicli di vendita enterprise più lenti e risposte più deboli alle verifiche di conformità all'AI Act. È un costo commerciale, non solo di compliance.
Il segnale che arriva dal procurement è difficile da ignorare. Nel 2025, i tracker di procurement hanno segnalato oltre 250 RFP enterprise in UE, USA e UK che richiedevano o valutavano specificamente lo stato ISO 42001. Il procurement ha perso la tolleranza per le affermazioni vuote. Quando ogni trattativa è esaminata sotto il profilo del rischio, della compliance e della fiducia, soprattutto quando c'è AI di mezzo, ISO 42001 diventa il metro che separa i candidati seri dagli altri. Questo accade ogni giorno nelle sale riunioni delle grandi aziende.
Cosa significa per le agenzie e i loro clienti
Per un'agenzia che costruisce sistemi AI per i propri clienti, la certificazione fa due cose concrete.
Prima cosa: rende il lavoro verificabile dall'inizio alla fine. ISO/IEC 42001 richiede un sistema di gestione AI che copra politiche, obiettivi, ruoli, trattamento del rischio, monitoraggio, documentazione, controlli e miglioramento continuo. Per i vendor, l'insieme delle prove richieste include di solito inventari AI, registri dei rischi, documentazione di governance dei modelli, controlli sui dati, registrazioni dei test, procedure di supervisione umana e controlli sui fornitori. L'elenco sembra burocratico. Nella pratica, impone una disciplina che la maggior parte dei progetti AI salta del tutto, e che i clienti ora iniziano a richiedere esplicitamente.
Seconda cosa: comunica qualcosa al cliente che nessun documento commerciale può fare. Clienti B2B e partner enterprise richiedono sempre più spesso prove di governance AI prima dell'acquisto. La certificazione ISO 42001 fornisce una validazione terza che i sistemi AI sono governati responsabilmente, riducendo la frizione nella due diligence e accelerando i cicli di vendita.
Per il cliente, il beneficio è altrettanto diretto. Se uno strumento AI seleziona i candidati in modo incoerente per via della provenienza geografica e lo si scopre durante un procedimento legale, è una conversazione molto costosa. ISO 42001 impone valutazioni d'impatto AI prima del rilascio e a ogni punto di modifica, coprendo bias, equità, sicurezza, privacy ed effetti sociali. Un implementatore certificato ha già eseguito quei controlli. È un trasferimento concreto di rischio, non una promessa di marketing.
Perché lo stiamo facendo
Hoshi è attualmente impegnata nel processo di certificazione. Costruiamo AI agentiva su Salesforce, che è essa stessa ora certificata ISO 42001. Non ha senso che la piattaforma detenga quello standard e che noi operiamo senza. In termini più pratici, stiamo già facendo il lavoro: registri dei rischi AI documentati, procedure di supervisione umana definite, controlli sulle modifiche al comportamento dei modelli. La certificazione trasforma la prassi interna in prova verificabile dall'esterno.
È ancora un elemento di differenziazione, finché la platea dei certificati è piccola e visibile. Quella finestra si chiude in fretta.
Cosa osservare
In Europa, CEN-CENELEC JTC 21 sta sviluppando standard AI a supporto dell'AI Act. La Commissione europea afferma che gli standard possono tradurre i requisiti legali in linguaggio tecnico comune e potrebbero creare una presunzione di conformità dopo la citazione nella Gazzetta Ufficiale. Quando ciò accadrà, ISO 42001 passerà da "preferito" a "di fatto necessario." Le agenzie e i clienti che avranno costruito il sistema prima si troveranno in una posizione molto più solida rispetto a chi dovrà adeguarsi di corsa.
Se sei una PMI che acquista servizi AI, chiedi al tuo fornitore se è certificato o in fase di certificazione. Se non sa rispondere, quella è già la risposta.
