In sintesi
- L’ISO non certifica nessuno. Sono enti di certificazione indipendenti a verificare il vostro sistema di gestione ed emettere il certificato; gli enti di accreditamento nazionali (Accredia in Italia, UKAS nel Regno Unito, ANAB negli Stati Uniti, DAkkS in Germania, RvA nei Paesi Bassi) vigilano sugli enti di certificazione.
- Il mercato globale della certificazione ISO ruota intorno a una dozzina di gruppi: BSI, SGS, Bureau Veritas, TUV, DNV, Intertek, LRQA, NQA, Schellman, Kiwa. I primi cinque concentrano circa il 28-32 per cento dei ricavi; SGS e Bureau Veritas pesano da soli quasi il 36 per cento del volume di certificati emessi.
- La norma
ISO/IEC 42001(sistemi di gestione dell’intelligenza artificiale) ridisegna la rosa. Solo pochi enti sono oggi pienamente accreditati: BSI (UKAS, RvA, ANAB), Schellman (ANAB), DNV e NQA (UKAS, ANAB) guidano il gruppo. - Il 1° gennaio 2026 IAF e ILAC si sono fuse nel Global Accreditation Cooperation Incorporated (GAC). Il regime di mutuo riconoscimento (MLA) resta invariato per il cliente finale, ma il soggetto giuridico è nuovo.
- L’auditor responsabile conta più del marchio sul certificato. Verificate il suo percorso settoriale (SaaS cloud-native, fornitori di IA, dispositivi medici, finanza regolamentata) prima di firmare.
Cosa significa davvero « enti di certificazione ISO »
Dietro la query enti di certificazione ISO si nascondono tre pubblici differenti. Il primo vuole verificare il certificato di un fornitore. Il secondo cerca un ente che lo audisca. Il terzo, più ristretto, prova a cartografare l’ecosistema prima di scegliere una norma obiettivo. Questa guida si rivolge agli ultimi due, perché è lì che si giocano le decisioni strategiche.
L’ISO, con sede a Ginevra, è l’Organizzazione internazionale per la normazione. Pubblica le norme (ISO 9001 per la qualità, ISO 14001 per l’ambiente, ISO 27001 per la sicurezza delle informazioni, ISO/IEC 42001 per i sistemi di gestione dell’IA) ma non certifica nessuno. La pagina ufficiale iso.org è inequivocabile: l’ISO non esegue certificazioni, non emette certificati e non autorizza nessuno a usare il proprio logo in relazione a certificazioni.
L’atto di certificazione è affidato a enti esterni, governati dalla norma di conformity assessment ISO/IEC 17021-1. Tali enti sono a loro volta vigilati dagli enti nazionali di accreditamento, regolati da ISO/IEC 17011. È questa doppia indipendenza a conferire al certificato ISO peso nelle gare, negli audit dei clienti e nei dossier regolatori.
Il vocabolario è oggi inscritto anche nel diritto europeo dell’IA. L’AI Act definisce un organismo di valutazione della conformità come « un organismo che svolge attività di valutazione della conformità da parte di terzi, incluse prove, certificazione e ispezione » (articolo 3, punto 21), e la valutazione della conformità come « il processo di dimostrazione del fatto che i requisiti di cui al capo III, sezione 2, sono soddisfatti » (articolo 3, punto 20). Per i fornitori di sistemi di IA ad alto rischio, il lessico ISO diventa un obbligo di legge.
La gerarchia a quattro livelli: ISO, accreditatori, certificatori, certificati
La gran parte delle pagine che si posizionano sulla query salta la struttura. Eppure è lei a dettare quale numero comporre.
Livello 1: l’ISO. Pubblica le norme. Possiede i marchi. Non certifica, non accredita.
Livello 2: gli enti di accreditamento. Indicativamente uno per Paese. Accredia in Italia, UKAS nel Regno Unito, ANAB negli Stati Uniti, DAkkS in Germania, COFRAC in Francia, ENAC in Spagna, RvA nei Paesi Bassi, IPAC in Portogallo, JAS-ANZ in Australia e Nuova Zelanda, INMETRO in Brasile. Il loro mandato: confermare che un ente di certificazione operi secondo ISO/IEC 17021-1 e sia competente in un ambito preciso (ad esempio audit ISO 27001 in ambito finanziario, oppure audit ISO/IEC 42001 presso fornitori di IA generativa).
Livello 3: gli enti di certificazione. Sono, in senso stretto, gli « enti di certificazione ISO ». BSI, SGS, Bureau Veritas, TUV SUD, TUV Rheinland, DNV, Intertek, LRQA, NQA, Schellman, Kiwa, oltre a diverse centinaia di operatori più piccoli, specialisti settoriali o geografici. Inviano l’auditor, leggono il vostro sistema di gestione, emettono il certificato.
Livello 4: le organizzazioni certificate. I clienti del livello 3. La banca dati iafcertsearch.org consente di verificare che un’azienda detenga effettivamente uno specifico certificato, rilasciato da un determinato ente sotto una determinata accreditazione. Lo strumento giusto prima di credere alla pagina « Trust » di un fornitore.
IAF e ILAC, che storicamente gestivano gli accordi di mutuo riconoscimento che rendono un certificato UKAS valido in Brasile e viceversa, si sono fusi il 1° gennaio 2026 nel Global Accreditation Cooperation Incorporated (GAC). Operativamente nulla cambia per i certificati esistenti, ma contratti e bandi redatti dopo tale data devono citare la GAC.
I principali enti di certificazione ISO nel 2026
L’elenco che segue applica tre filtri: impronta di accreditamento globale, ampiezza delle norme coperte, prontezza su ISO/IEC 42001. Per ciascun ente: il nome, le norme di riferimento, gli accreditamenti, la ragione pratica per cui un’azienda lo sceglie o lo scarta.
BSI Group
L’istituto britannico di normazione e uno dei cinque maggiori certificatori a livello globale. Accreditamenti UKAS, RvA e ANAB: un certificato BSI gode di riconoscimento immediato nel Regno Unito, nell’Unione europea e in Nord America. BSI è stato il primo ente al mondo accreditato UKAS per ISO/IEC 42001, come indicato nella propria pagina dedicata. Per le organizzazioni con roadmap che impila ISO 27001, ISO 27701 e ISO/IEC 42001, BSI è la soluzione one-stop più pulita.
Gruppo SGS
Il ginevrino SGS è il maggior gruppo mondiale di testing, ispezione e certificazione per fatturato, con circa il 19 per cento del volume globale di certificati ISO secondo gli studi di settore. Accreditamenti UKAS, ANAB, DAkkS, COFRAC, Accredia e decine d’altri. La scelta rassicurante per i roll-out multinazionali in cui ogni filiale ha bisogno di un certificato locale mutualmente riconosciuto.
Bureau Veritas
Il pendant francese di SGS, circa il 17 per cento del volume globale. Forte radicamento industriale (energia, automotive, edilizia, marittimo) e crescente attività nella certificazione di sistemi di gestione delle aziende digitali. Bureau Veritas ha una practice dedicata all’assurance IA e sta estendendo la copertura ISO/IEC 42001, anche se l’accreditamento regionale è ancora in maturazione.
TUV (TUV SUD, TUV Rheinland, TUV Nord)
Le tre entità TUV sono organizzazioni sorelle in concorrenza tra loro. Dominano l’area DACH (Germania, Austria, Svizzera) e sono accreditate da DAkkS, ANAB e altri. TUV SUD e TUV Rheinland sono i più attivi nell’assurance IA. La prima chiamata per il cliente industriale o per chi deve auditare in tedesco.
DNV
Fondazione norvegese di solida reputazione tecnica, particolarmente nel marittimo, energia, sanità e scienze della vita. DNV è ente di certificazione terza parte accreditato per ISO/IEC 42001, come indica la sua pagina servizio. Tende a impiegare auditor con profilo ingegneristico più marcato della media degli enti Top-1.
Intertek
Quartier generale a Londra, ampia copertura settoriale, forte nei beni di consumo, elettronica e assurance della catena di fornitura. Accreditamenti UKAS, ANAB e numerose accreditazioni regionali. Meno visibile di BSI nella narrazione IA ma alternativa credibile per chi già utilizza Intertek per il testing prodotto.
LRQA
Ex Lloyd’s Register Quality Assurance. Accreditamento UKAS, forte posizionamento marittimo, energia, sicurezza alimentare e catena di fornitura. Stile di audit incline al rigore operativo più che alla ginnastica documentale.
NQA
Ente britannico che pesa più della propria taglia sugli audit ISO 27001 del settore tech, e accreditato UKAS e ANAB per ISO/IEC 42001 secondo la sua pagina dedicata. Sfidante credibile di BSI per un audit combinato ISO 27001 più 42001, sovente a un costo sensibilmente inferiore.
Schellman
Certificatore statunitense diventato il primo ente accreditato ANAB per ISO/IEC 42001 negli Stati Uniti, secondo la pagina di governance IA di Schellman. Per un fornitore di IA nordamericano è il punto di partenza naturale, grazie a quello status di pioniere e perché la firm copre già SOC 2, HIPAA e ISO 27001 per lo stesso profilo di clientela.
Kiwa NV
Ente olandese fortemente accreditato RvA, specialista in costruzioni, agricoltura, energia e alimentare. Citato qui come alternativa continentale credibile rispetto alla « Big Five » per chi opera principalmente in Europa.
ISO/IEC 42001: la norma IA che ridisegna il panorama
Pubblicata nel dicembre 2023, ISO/IEC 42001:2023 è la prima norma internazionale di sistema di gestione dedicata all’intelligenza artificiale. Come ISO 27001 per la sicurezza delle informazioni, specifica le politiche, i processi, i controlli e i cicli di miglioramento continuo che un’organizzazione deve implementare per governare i propri sistemi di IA lungo l’intero ciclo di vita.
Dal 2024 al 2026 gli enti nazionali di accreditamento hanno avviato i propri programmi di assessment a velocità diverse. UKAS, RvA e ANAB hanno aperto la strada; DAkkS, COFRAC, Accredia e gli altri stanno colmando il distacco. La pagina ANAB sul programma ISO/IEC 42001 mantiene aggiornato l’elenco statunitense; il registro UKAS svolge la stessa funzione nel Regno Unito.
Conta anche la dimensione europea. Il CEN-CENELEC sta elaborando le norme europee armonizzate che apriranno una presunzione di conformità con l’AI Act, inclusi i lavori di riferimento prEN 18228 e prEN 18282. Tali bozze sono riservate finché in elaborazione, ma la loro esistenza implica che ogni ente di certificazione che investe oggi sulla capacità ISO/IEC 42001 sta costruendo nel contempo la squadra che condurrà domani le valutazioni di conformità AI Act.
La lezione operativa: nel 2026 la short list per le organizzazioni a forte intensità IA è più corta di quanto la SERP generica suggerisca. Accertarsi che lo scope dell’accreditamento citi esplicitamente ISO/IEC 42001, non solo « servizi IA », prima di firmare. Il record IAF CertSearch deve indicare la norma per identificativo.
Come scegliere il vostro ente di certificazione
Cinque criteri, nell’ordine in cui li applica un compliance lead esperto:
- Accreditamento per la norma esatta, da un firmatario MLA GAC. Fatevi mostrare il certificato di accreditamento, non la pagina marketing. Verificate che la dichiarazione di scope includa la norma richiesta (ad esempio
ISO/IEC 42001:2023) e i codici settoriali corrispondenti al vostro business. Unico criterio non negoziabile. - L’auditor, non il marchio. Chiedete chi sarà l’auditor responsabile assegnato. Leggetene il profilo LinkedIn. Cercate esperienza settoriale, non semplici anni di audit. Un ottimo audit può venire da un certificatore economico con un auditor di prim’ordine, un audit deludente da un certificatore premium con un auditor troppo junior.
- Copertura geografica. Se operate in più giurisdizioni, accertatevi che l’ente possa auditare le filiali con il medesimo scope o disponga di accordi reciproci sotto la MLA GAC. Un patchwork di certificati nazionali è un grattacapo per gli acquisti.
- Sovrapposizione con audit esistenti. Se i vostri team già svolgono SOC 2, HIPAA, PCI DSS o ISO 27001 con un certificatore, aggiungere
ISO/IEC 42001allo stesso mandato produce di norma uno sforzo cumulato più contenuto e una catena di evidenze più pulita. I certificatori multi-norma (BSI, SGS, Bureau Veritas, NQA, Schellman) sono costruiti per questo. - Costo e tempistiche, per ultimi. Un primo audit ISO 27001 per una SaaS di media dimensione costa tipicamente da 15.000 a 40.000 dollari; un primo audit
ISO/IEC 42001da 20.000 a 50.000 dollari, perché la norma è recente e l’offerta di auditor scarseggia. Ricertificazione triennale, audit di sorveglianza annuali nel mezzo.
Che cosa dice l’AI Act sulla valutazione della conformità
L’AI Act inscrive il vocabolario ISO della valutazione della conformità nel diritto europeo vincolante. Tre definizioni inquadrano qualsiasi decisione su un ente di certificazione nel 2026.
L’articolo 3, punto 20 definisce la valutazione della conformità come « il processo di dimostrazione del fatto che i requisiti di cui al capo III, sezione 2, sono soddisfatti » (artificialintelligenceact.eu/article/3/).
L’articolo 3, punto 21 definisce l’organismo di valutazione della conformità come « un organismo che svolge attività di valutazione della conformità da parte di terzi, incluse prove, certificazione e ispezione ». Tali organismi, una volta notificati ai sensi dell’AI Act, valuteranno i sistemi di IA ad alto rischio prima della loro immissione sul mercato dell’Unione.
L’articolo 3, punto 24 definisce la marcatura CE come « una marcatura mediante la quale un fornitore attesta che un sistema di IA è conforme ai requisiti di cui al capo III, sezione 2, e alle altre disposizioni applicabili del diritto dell’Unione ».
Gli organismi notificati ai sensi dell’AI Act non sono la medesima entità giuridica degli enti di certificazione ISO, ma le competenze d’audit, la metodologia e spesso il gruppo proprietario si sovrappongono in larga misura. BSI, TUV SUD, Bureau Veritas, DNV e SGS dispongono già di rami di organismo notificato in altri settori di marcatura CE e si stanno posizionando per la notifica AI Act. Scegliere un certificatore che combini accreditamento ISO/IEC 42001 e candidatura a organismo notificato AI Act significa comprare opzionalità: una sola relazione di audit, due regimi regolatori.
Dove si colloca AI Sigil nel vostro percorso di certificazione
AI Sigil non è un ente di certificazione. È la piattaforma di governance che usate prima dell’arrivo dell’auditor. I nostri clienti vi inventariano ogni sistema di IA dell’organizzazione, lo mappano sui controlli richiesti da ISO/IEC 42001, NIST AI RMF e AI Act, allegano evidenze a ciascun controllo e generano il rapporto audit-ready che l’ente di certificazione esaminerà.
L’effetto pratico: un audit che richiederebbe altrimenti 8-12 settimane di raccolta evidenze si riduce all’audit stesso, perché ogni artefatto è già strutturato secondo le aspettative degli auditor ISO/IEC 17021-1. I nostri clienti scelgono il certificatore dalla lista precedente in base ad accreditamento e fit settoriale, poi arrivano al mandato con inventario IA, registro dei rischi, mappatura dei controlli e library evidenze già esportabili.
La piattaforma si ferma volutamente prima del ruolo di auditor. Proprio l’indipendenza tra organizzazione audisce, strumento di governance ed ente di certificazione è ciò che rende il certificato spendibile a valle.
Domande frequenti
L’ISO certifica direttamente le aziende? No. L’ISO pubblica le norme ma non esegue certificazioni e non emette certificati. Sono enti di certificazione indipendenti, vigilati dagli enti nazionali di accreditamento, a svolgere gli audit e a rilasciare i certificati. L’ISO lo dichiara chiaramente sulla propria pagina certificazioni.
Qual è la differenza tra accreditamento e certificazione? La certificazione è l’attestazione di terza parte che il sistema di gestione di una determinata organizzazione soddisfa una specifica norma ISO. L’accreditamento è il riconoscimento formale che l’ente di certificazione emittente è a sua volta competente e imparziale. Un certificato ISO emesso da un ente non accreditato è tecnicamente valido ma pesa poco nelle gare e nei dossier regolatori.
Qual è il più grande ente di certificazione ISO? Per volume di certificati emessi, SGS guida con circa il 19 per cento del mercato mondiale, seguito da Bureau Veritas attorno al 17 per cento. Per fatturato, i primi cinque (SGS, Bureau Veritas, Intertek, TUV SUD, BSI) totalizzano il 28-32 per cento del mercato globale dei servizi di certificazione ISO.
Quanto costa una certificazione ISO? Primo audit ISO 27001 per una SaaS di medie dimensioni: tipicamente 15.000-40.000 dollari, con audit di sorveglianza annuali e ricertificazione triennale. Primo audit ISO/IEC 42001: 20.000-50.000 dollari a seconda di scope, geografia e seniority dell’auditor. Un audit combinato multi-norma (ad esempio ISO 27001 più ISO 27701 più ISO/IEC 42001) presso lo stesso certificatore riduce il costo per norma del 15-30 per cento.
Lo stesso ente può certificarmi per ISO 27001 e ISO/IEC 42001? Sì, a condizione che detenga l’accreditamento per entrambe. BSI, NQA, Schellman, DNV e diversi grandi certificatori sono accreditati su entrambe. Un mandato combinato risulta in genere più rapido ed economico di due separati, perché la base di evidenze si sovrappone in misura sostanziale.
Chi ha sostituito IAF nel 2026? L’International Accreditation Forum (IAF) e l’International Laboratory Accreditation Cooperation (ILAC) sono confluiti nel Global Accreditation Cooperation Incorporated (GAC) il 1° gennaio 2026. Gli accordi di mutuo riconoscimento (ex IAF MLA ed ex ILAC MRA) operano ora sotto la GAC. I certificati esistenti restano validi e il mutuo riconoscimento continua immutato per il cliente finale.
Conclusione
La query enti di certificazione ISO nasconde tre percorsi d’acquisto distinti, ma la risposta converge sulla medesima short list ristretta. Scegliete un ente accreditato da un firmatario MLA GAC per la norma esatta che vi serve, verificate l’esperienza settoriale dell’auditor responsabile assegnato, e accertatevi che l’ente abbia già oggi l’accreditamento ISO/IEC 42001 o una roadmap credibile per ottenerlo. Il mercato è ampio, ma la short list rilevante per i compratori dell’era IA è stretta: BSI, SGS, Bureau Veritas, TUV SUD, DNV, Intertek, LRQA, NQA, Schellman e Kiwa coprono circa il 95 per cento della domanda meritevole di analisi. AI Sigil si colloca un passo prima nel percorso, trasformando il vostro inventario IA nel dossier di evidenze che ciascuno di quegli auditor vorrà vedere fin dal primo giorno.