ISO 42001 in Italia: percorso Accredia e enti di certificazione (guida 2026)
La domanda che riceviamo più spesso da CIO e responsabili compliance italiani non è se ISO/IEC 42001 sia rilevante — quello è ormai dato per scontato dopo l'entrata in vigore dell'AI Act. La domanda vera è operativa: chi rilascia la certificazione in Italia, qual è il ruolo di Accredia, quanto costa, quanto dura il percorso. Questa guida risponde a queste domande con dati verificati ad aprile 2026, riferimenti normativi puntuali e una mappa del percorso che un'organizzazione italiana — PMI, mid-market o gruppo enterprise — deve percorrere per arrivare al certificato emesso.
Non è un ripasso teorico della norma. Per quello rimandiamo alla guida completa a ISO 42001 che copre struttura, controlli dell'Annex A e logica del sistema di gestione. Qui ci concentriamo sull'ecosistema italiano: Accredia come organismo unico nazionale di accreditamento, gli enti di certificazione che hanno completato l'estensione di scopo per la 42001, i tempi reali di un percorso e i costi tipici per fascia dimensionale.
Il sistema italiano: accreditamento vs certificazione
Prima di parlare di enti e costi serve chiarire una distinzione che molti operatori confondono — e che genera errori di procurement significativi quando si seleziona il fornitore sbagliato.
L'accreditamento è il riconoscimento formale che un organismo (di certificazione, ispezione, prova) è competente a svolgere attività di valutazione della conformità rispetto a una norma specifica. In Italia, l'accreditamento è materia di un unico ente nazionale: Accredia, designato dal Governo italiano in base al Regolamento (CE) 765/2008 e operativo dal 2009 come fusione di SINAL, SINCERT e SIT.
La certificazione è invece l'atto con cui un organismo accreditato attesta che una specifica organizzazione (cliente) soddisfa i requisiti di una norma. Il certificato lo rilascia l'ente di certificazione; l'accreditamento dell'ente è ciò che dà valore al certificato.
Tradotto operativamente: quando un cliente o un regolatore vi chiede "chi vi ha certificato?" la risposta corretta è il nome dell'ente (RINA, CSQA, Bureau Veritas, DNV, eccetera). Quando vi chiede "che valore ha quel certificato?" la risposta corretta è "l'ente è accreditato Accredia per lo scopo ISO/IEC 42001". Senza accreditamento Accredia, il certificato vale come la lettera di un consulente: opinione professionale, non riconoscimento istituzionale.
Questa è la ragione per cui la prima domanda da fare a qualunque ente vi proponga una certificazione 42001 in Italia è: mostratemi il certificato Accredia con scopo esteso a ISO/IEC 42001. Se l'ente non ha completato l'estensione di scopo, il certificato che vi rilascerà tecnicamente esiste ma non è riconosciuto dal sistema italiano di accreditamento — e in caso di audit di un ente notificato AI Act o di richiesta di prova in gara pubblica può essere contestato.
Il ruolo di Accredia per ISO 42001
Accredia ha avviato il programma di accreditamento per ISO/IEC 42001 a partire da metà 2024, dopo la pubblicazione internazionale della norma a dicembre 2023. Lo schema di accreditamento si appoggia sui criteri generali della ISO/IEC 17021-1 (organismi di certificazione di sistemi di gestione) integrati dai requisiti tecnici specifici per la valutazione di sistemi di gestione dell'intelligenza artificiale.
Il processo per un ente di certificazione che voglia operare in Italia con ISO 42001 prevede tre fasi: presentazione della domanda di estensione di scopo, valutazione documentale Accredia, audit di valutazione (witness audit) durante un audit reale che l'ente conduce su un cliente pilota. Solo dopo il witness audit positivo Accredia rilascia l'estensione formale.
Ad aprile 2026 il numero di enti che hanno completato l'iter è ancora ristretto: meno di dieci organismi sono accreditati Accredia per ISO 42001 sul mercato italiano. La lista cresce mensilmente — Accredia pubblica l'elenco aggiornato sul proprio sito nella sezione banche dati, filtrando per schema "ISO/IEC 42001:2023".
Per le organizzazioni italiane questo significa due cose: la prima è che la disponibilità di slot di audit qualificati è limitata e i tempi di prenotazione si sono allungati (vedi sezione tempi); la seconda è che la fase di selezione fornitore va anticipata di mesi rispetto a quanto si farebbe per ISO 27001 o ISO 9001, dove l'offerta è matura.
Enti di certificazione per ISO 42001 in Italia
La lista che segue riporta gli organismi che ad aprile 2026 risultano operativi sul mercato italiano per ISO 42001, con verifica diretta sui rispettivi siti istituzionali e sull'elenco Accredia. Ne descriviamo posizionamento, perimetro tipico di clientela e segnali che abbiamo raccolto da operatori che hanno avviato il percorso.
RINA Services
RINA è il principale ente italiano di certificazione per dimensione e copertura settoriale. Ha avviato il servizio ISO 42001 nel 2024 e completato l'estensione Accredia tra i primi. Il posizionamento è generalista con forte presenza in industria, energia, trasporti e settore pubblico. Per organizzazioni con un sistema di gestione integrato (qualità, sicurezza informazioni, sicurezza, ambiente) già certificato RINA, l'estensione a 42001 si integra in audit combinati che riducono i giorni-uomo complessivi. Tariffe medio-alte, tempi di prenotazione audit allungati su scala nazionale.
CSQA Certificazioni
CSQA è particolarmente forte nel settore agroalimentare, sanitario e nei servizi pubblici. Ha sviluppato un'offerta ISO 42001 che si rivolge in modo specifico a organizzazioni che applicano sistemi di IA in contesti regolati (sanità, food safety, pubblica amministrazione locale). Il vantaggio comparativo è la familiarità con schemi sovrapposti (HACCP, accreditamento sanitario regionale) che spesso convivono con il sistema 42001 nelle aziende clienti.
Bureau Veritas Italia
Filiale italiana del gruppo francese, Bureau Veritas opera in Italia con una rete di auditor multidisciplinari. L'offerta ISO 42001 beneficia del know-how internazionale del gruppo (la 42001 è coperta in molti paesi BV) e si presta bene a organizzazioni multi-paese che vogliono uniformare l'ente certificatore tra subsidiary italiana e filiali europee. Tempi e costi allineati alla media degli enti tier-1.
DNV Business Assurance Italia
DNV (gruppo norvegese) ha investito presto sull'IA come dominio certificabile e in Italia opera con un team focalizzato su finance, energy e maritime. Per banche italiane e gruppi assicurativi che hanno DNV come certificatore ISO 27001 o ISO 22301, l'aggiunta della 42001 in audit integrato è la scelta operativamente più semplice. DNV pubblica anche white paper tecnici sui controlli Annex A che gli organismi peer non hanno ancora prodotto.
BSI Italia
BSI è l'ente britannico co-autore della famiglia ISO/IEC nei comitati di standardizzazione (è stato tra i contributori della BS 8001 sulla blockchain e ha forte presenza nei working group ISO/IEC JTC 1/SC 42 sull'IA). In Italia opera con sede a Milano e un network di auditor. Posizionamento premium, particolarmente adatto a organizzazioni che vogliono massimizzare il valore reputazionale del certificato in mercati anglosassoni.
TUV Italia, TUV Rheinland, TUV SUD
I tre principali enti di matrice tedesca operano in Italia con strutture legali separate. TUV Italia (gruppo TUV SUD) ha sede a Milano; TUV Rheinland ha sede a Pomezia e Milano; TUV NORD opera tramite partner. Tutti e tre hanno avviato l'offerta 42001, con tempistiche di accreditamento Accredia leggermente sfasate. Forti nel manufacturing, automotive, dispositivi medici. La valutazione costi richiede confronto puntuale perché i listini variano per giornata-uomo e per moltiplicatori di scope.
IMQ
IMQ (Istituto Italiano del Marchio di Qualità) ha radici nella sicurezza elettrotecnica e ha esteso negli anni il portafoglio a sistemi di gestione. L'offerta 42001 è orientata a organizzazioni industriali italiane di taglia medio-grande, con un posizionamento di prezzo competitivo rispetto agli enti internazionali tier-1.
Certifico e altri enti minori
Esistono ulteriori organismi italiani di nicchia (alcuni con base regionale, altri specializzati per settore) che stanno completando l'estensione di scopo. La verifica dell'accreditamento Accredia va sempre fatta direttamente sull'elenco ufficiale prima di firmare il contratto: la presenza di "ISO 42001" sul sito dell'ente non è di per sé prova di accreditamento sotto schema italiano.
Un caveat importante: alcuni enti propongono la certificazione 42001 anche senza accreditamento Accredia, come "certificazione di parte terza non accreditata". Tecnicamente lo possono fare, ma il certificato risultante non ha lo stesso valore istituzionale e in molti contesti regolatori non viene riconosciuto. Per qualunque organizzazione che voglia spendere il certificato verso pubblica amministrazione, gare europee o ente notificato AI Act, l'accreditamento Accredia è non negoziabile.
Costi tipici della certificazione ISO 42001 in Italia
I costi variano in funzione di tre parametri: dimensione dell'organizzazione (numero dipendenti, sedi, complessità), perimetro del sistema di gestione (quanti sistemi di IA sono inclusi nello scope, in quali fasi del ciclo di vita), maturità del cliente (un'organizzazione che parte da zero impiega più giornate di gap analysis e remediation di una che ha già ISO 27001 e politiche di governance maturi).
Il riferimento di settore — verificato su preventivi raccolti da clienti che ci hanno consultato durante la selezione fornitore — si posiziona nelle seguenti fasce. Gli importi includono la sola attività di certificazione (audit Stage 1, Stage 2, certificato, sorveglianze annuali nel triennio) e non includono la consulenza di preparazione, che è una voce separata.
Fascia PMI (fino a 50 dipendenti, scope IA limitato). Audit di certificazione iniziale tra 8.000 e 18.000 euro, distribuiti tra Stage 1 e Stage 2. Sorveglianza annuale tra 3.000 e 6.000 euro. Rinnovo a tre anni con costo simile all'iniziale, scontato del 15-20% se condotto dallo stesso ente. La consulenza di preparazione (gap analysis, sviluppo politiche, formazione, audit interni) per una PMI parte da 15.000 euro e arriva a 50.000 a seconda dello stato di partenza.
Fascia mid-market (50-500 dipendenti, scope IA esteso, sedi multiple). Audit di certificazione iniziale tra 25.000 e 60.000 euro. Sorveglianza annuale tra 8.000 e 18.000 euro. La consulenza di preparazione si colloca generalmente tra 50.000 e 150.000 euro. In questa fascia diventa rilevante valutare l'audit integrato con altre certificazioni esistenti (ISO 27001 in primis, vedi paragrafo dedicato): il risparmio in giornate-uomo può arrivare al 30-40% rispetto ad audit separati.
Fascia enterprise (500+ dipendenti, scope IA enterprise-wide, multi-paese). Audit di certificazione iniziale dai 70.000 euro in su, con casi sopra i 200.000 euro per gruppi multinazionali con sedi italiane multiple e perimetro IA complesso. Sorveglianza annuale dai 25.000 in su. La consulenza di preparazione per un enterprise italiano si misura in centinaia di migliaia di euro, spesso strutturata come progetto biennale che integra anche AI Act compliance, modello organizzativo 231 e sistemi di gestione adiacenti.
I costi sopra esposti sono indicativi e raccolti da preventivi del 2025-2026. Vanno interpretati come ordine di grandezza, non come listino. Il preventivo specifico va sempre richiesto all'ente con un perimetro definito per iscritto: "sistema di gestione dell'IA per i seguenti sistemi specifici, sviluppati e operati dalla società X in Italia, con riferimento alla seguente versione della norma ISO/IEC 42001:2023".
Una nota critica sul rapporto costi-benefici: la 42001 non è una commodity. Selezionare l'ente al prezzo più basso è una falsa economia se l'ente non ha competenza tecnica matura sui sistemi di IA. Un audit superficiale produce un certificato valido formalmente ma debole quando viene messo alla prova da un ente notificato AI Act, da un'autorità di vigilanza o da un cliente enterprise che chiede evidenze. Il costo da minimizzare è il costo totale di proprietà del sistema di gestione nel triennio, non il prezzo del singolo audit.
Tempi del percorso: gap analysis → audit → certificato
Il percorso completo da decisione iniziale a certificato in mano dura tipicamente tra 9 e 18 mesi per un'organizzazione italiana di taglia mid-market che parte da una base ISO 27001 esistente. Per un'organizzazione che parte da zero senza alcun sistema di gestione formalizzato, il tempo si estende fino a 24 mesi. Le fasi sono le seguenti.
Fase 1: gap analysis e progetto di adeguamento (1-3 mesi). Si valuta il punto di partenza dell'organizzazione rispetto ai requisiti della norma e ai controlli dell'Annex A. Si produce un piano di lavoro con responsabili, scadenze, risorse. Per un'organizzazione che ha già ISO 27001 implementato seriamente, una parte significativa dei controlli è già coperta — vedi la nostra analisi su ISO 42001 vs ISO 27001.
Fase 2: implementazione del sistema di gestione (4-9 mesi). È la fase più lunga e più sottostimata. Si scrivono o si aggiornano le politiche, si definiscono ruoli e responsabilità, si implementano i controlli operativi (gestione del rischio sistemi di IA, valutazione di impatto sui diritti fondamentali, controlli sui dati di addestramento, monitoraggio post-deployment), si formano le persone, si avviano i registri operativi richiesti dalla norma. Le organizzazioni che sottostimano questa fase arrivano in audit con politiche scritte ma non operative — e l'auditor lo nota immediatamente.
Fase 3: audit interno e riesame della direzione (1 mese). La norma richiede che prima dell'audit di certificazione l'organizzazione conduca un proprio ciclo di audit interno e una riunione formale di riesame della direzione. Sono requisiti formali ma anche operativamente sani: l'audit interno scova le lacune che l'auditor esterno troverebbe; il riesame della direzione documenta il commitment del management.
Fase 4: audit Stage 1 (1-2 settimane). L'ente di certificazione conduce un primo audit, prevalentemente documentale, per verificare la prontezza dell'organizzazione all'audit di certificazione vero e proprio. Esita in un rapporto con eventuali rilievi minori che vanno chiusi prima dello Stage 2.
Fase 5: audit Stage 2 (2-5 giorni di audit on-site, distribuiti su 2-3 settimane). È l'audit di certificazione vero e proprio. Gli auditor visitano le sedi, intervistano persone, esaminano evidenze operative, testano l'efficacia dei controlli. Esita in un rapporto con eventuali non conformità (maggiori e minori). Le non conformità maggiori bloccano la certificazione fino a chiusura; le minori richiedono un piano d'azione documentato.
Fase 6: rilascio del certificato (4-8 settimane dopo Stage 2). Dopo la chiusura delle eventuali non conformità e la revisione interna dell'ente di certificazione, viene emesso il certificato con validità triennale.
Fase 7: mantenimento (anni 2 e 3). Sorveglianze annuali condotte dall'ente, di durata e cost ridotti rispetto all'audit iniziale. Verificano il mantenimento del sistema, eventuali modifiche significative e l'efficacia dei controlli nel tempo. Al termine del triennio, audit di rinnovo che riproduce in forma compressa lo Stage 2.
Tre fattori allungano sistematicamente questi tempi nei progetti italiani. Il primo è la sottostima della fase 2: il management decide di certificarsi e si aspetta di farlo in sei mesi, ma le politiche operative richiedono integrazione con processi reali e questo richiede negoziazione interna. Il secondo è la disponibilità di auditor accreditati: come accennato, l'offerta italiana di auditor 42001 è ancora limitata e i calendari degli enti di certificazione si riempiono con mesi di anticipo. Il terzo è la coerenza tra schema 42001 e adempimenti AI Act: organizzazioni che cercano di chiudere entrambi i fronti in parallelo trovano sinergie ma anche frizioni operative — vedi la nostra guida sulla governance dei sistemi di IA in azienda.
Caso di studio italiano: gruppo finanziario mid-market
Lo schema sotto è ricavato da un percorso reale seguito a distanza ravvicinata, con dati anonimizzati per riservatezza contrattuale. È utile per dare un riferimento numerico concreto alle fasce esposte sopra.
L'organizzazione è un gruppo finanziario italiano con circa 280 dipendenti, sede principale a Milano e due filiali (Roma, Torino), con cinque sistemi di IA in produzione (scoring crediti, antifrode, customer support con LLM, ottimizzazione portafogli, analytics interno) e ulteriori tre in pipeline. Già certificato ISO 27001 dal 2019.
Il progetto è partito a maggio 2025. Gap analysis condotta tra maggio e giugno (40.000 euro di consulenza). Implementazione del sistema di gestione tra luglio 2025 e marzo 2026 (110.000 euro tra consulenza esterna e ore interne capitalizzate). Audit interno e riesame della direzione ad aprile 2026. Audit Stage 1 a maggio (selezione DNV in audit integrato con la sorveglianza ISO 27001). Audit Stage 2 previsto a giugno. Costo dell'audit di certificazione 42001 quotato 38.000 euro, scontato del 25% rispetto a un audit standalone grazie all'integrazione 27001. Certificato atteso entro settembre 2026, per un percorso totale di 16 mesi.
Tre lezioni apprese ci sembrano replicabili. La prima: partire da una base ISO 27001 matura abbatte significativamente i tempi e i costi sui controlli condivisi (gestione del rischio, gestione dei fornitori, sicurezza dei dati). La seconda: il sistema di gestione non si riduce a documentazione — il gruppo ha investito in un AI inventory operativo, in un processo formale di valutazione d'impatto sui diritti fondamentali e in un team interno dedicato. La terza: la selezione dell'ente di certificazione è stata condotta come una vera e propria gara con tre offerte; il prezzo non è stato il criterio determinante, ma la competenza tecnica del team auditor sui domini bancari di IA è stata verificata in interviste preliminari.
Come selezionare l'ente di certificazione
Il decision framework che proponiamo a clienti italiani per la selezione fornitore include cinque criteri, da pesare in funzione del contesto.
Criterio 1: accreditamento Accredia verificato. Non negoziabile. Verifica documentale sul sito Accredia con scopo "ISO/IEC 42001:2023" attivo alla data di riferimento.
Criterio 2: competenza tecnica del team auditor sul vostro dominio. Un auditor competente sul dominio sanitario non è automaticamente competente sul finanziario, e viceversa. La 42001 richiede capacità di valutare il funzionamento concreto di sistemi di IA: chiedete il CV degli auditor proposti e fate un'intervista tecnica preliminare prima di firmare.
Criterio 3: integrazione con certificazioni esistenti. Se siete già certificati ISO 27001 (o 9001, o 22301) con un ente, la prima ipotesi da valutare è l'estensione di scopo con lo stesso ente in audit integrato. Risparmio di 30-40% in giornate-uomo e una sola interfaccia gestionale.
Criterio 4: tempi di disponibilità. Verificate i tempi di prenotazione audit. Alcuni enti tier-1 hanno calendari saturi a 6-9 mesi.
Criterio 5: posizionamento del certificato verso i vostri stakeholder. Se siete un'azienda italiana che vende prevalentemente in Italia, qualunque ente accreditato Accredia rilascia un certificato di pari valore. Se invece avete clienti enterprise internazionali in Germania o Regno Unito, il riconoscimento del marchio dell'ente certificatore può avere un peso commerciale ulteriore.
Una volta scelto l'ente, il contratto va negoziato con attenzione su tre punti: durata della validità del prezzo (alcuni enti aumentano il prezzo della sorveglianza nel triennio, altri lo bloccano), perimetro chiuso degli audit (numero di sedi, numero di sistemi IA, evitare upcharge a sorpresa), clausole di sostituzione auditor (avete il diritto di chiedere un cambio se l'auditor proposto non ha le competenze adeguate al vostro dominio).
Cosa succede se rinviate la certificazione
La domanda legittima è: serve davvero certificarsi adesso, o si può aspettare? La risposta dipende dal profilo dell'organizzazione, ma alcuni fattori rendono il rinvio più costoso di quanto sembri.
Il primo è la coerenza con l'AI Act. Per i sistemi di IA classificati ad alto rischio, l'AI Act richiede sistemi di gestione del rischio, sistemi di gestione della qualità e governance documentata. Un sistema 42001 certificato non è di per sé un certificato di conformità AI Act — sono cose diverse — ma copre buona parte dei requisiti organizzativi, e gli enti notificati AI Act stanno costruendo i propri schemi tenendo conto della 42001 come baseline industriale. Vedi l'analisi nel nostro confronto tra AI Act e ISO 42001 per il dettaglio normativo.
Il secondo è il vantaggio commerciale del primo arrivato. In bandi pubblici italiani che iniziano a richiedere "sistemi di gestione dell'IA conformi a standard internazionali", chi arriva con il certificato in mano vince clausole di qualifica che competitor non certificati non possono soddisfare in tempi brevi. Lo stesso vale in tender enterprise B2B con clienti che hanno already inserito la 42001 nei propri vendor questionnaire.
Il terzo è il debito tecnico organizzativo. Costruire un sistema di gestione su sistemi di IA già in produzione, senza che esistesse fin dall'inizio, è più costoso di costruirlo in parallelo allo sviluppo. Le organizzazioni che rimandano accumulano sistemi privi di documentazione di rischio, di valutazione di impatto, di registro operativo — e quando arriva il momento del recupero, il costo della retrofit è significativamente più alto.
Il quarto è la pressione da auditor di parte terza non certificati. Clienti enterprise iniziano a chiedere audit di seconda parte (cliente-su-fornitore) sui sistemi di IA. Senza un certificato di parte terza accreditato, ogni cliente conduce il proprio audit, e il fornitore moltiplica le ore-uomo speso a rispondere a questionari simili ma diversi. La 42001 certificata sostituisce decine di audit di seconda parte con un singolo certificato riconosciuto.
Prossimi passi operativi
Per un'organizzazione italiana che vuole avviare il percorso, suggeriamo questa sequenza pragmatica.
Definire il perimetro: quali sistemi di IA includere nello scope, quali sedi, quale perimetro temporale. Un perimetro troppo ampio aumenta i costi e i tempi senza valore aggiunto; un perimetro troppo stretto riduce il valore del certificato verso stakeholder.
Condurre una gap analysis preliminare interna o con consulenza qualificata. Output atteso: piano di lavoro con responsabili, scadenze e budget. Vedi la nostra implementazione passo-passo di un sistema di gestione 42001 per la struttura del piano.
Selezionare l'ente di certificazione con i cinque criteri sopra esposti. Avviare la negoziazione contrattuale parallelamente all'implementazione, non a valle: gli enti hanno calendari lunghi e fissare la data di audit Stage 1 dà al progetto interno una scadenza vincolante.
Implementare il sistema di gestione con disciplina. Non è un esercizio documentale: politiche, procedure, registri, formazione, audit interni devono essere operativamente vivi prima dell'audit Stage 1. La 42001 si differenzia da altre certificazioni proprio per la verifica diretta dell'operatività del sistema sui sistemi di IA reali.
Capitalizzare il certificato. Un certificato 42001 non vale solo come adempimento: vale come credenziale verso clienti, asset di vendita in B2B, baseline per il rapporto con autorità di vigilanza. Costruire la comunicazione del certificato — verso clienti, verso il mercato del lavoro per attrarre talenti, verso investitori — è parte del ROI del progetto. Una guida operativa al posizionamento è nel nostro pezzo su ISO 42001 come asset commerciale per fornitori di IA.
L'ecosistema italiano per ISO 42001 è giovane ma sta maturando rapidamente. Accredia ha posto le fondamenta, gli enti tier-1 sono operativi, i primi certificati italiani sono già stati emessi. La finestra per posizionarsi tra i primi certificati nel proprio settore è aperta nel 2026 ma non resterà tale a lungo: dal 2027 in poi la 42001 diventerà condizione minima di mercato in molti tender, e il vantaggio competitivo si sposterà sulla qualità della governance, non sulla mera presenza del certificato.