La ISO 37001:2025 è la norma internazionale per i sistemi di gestione per la prevenzione della corruzione. Non promette che in azienda nessuno proverà mai a corrompere o farsi corrompere: nessuna norma può garantirlo. Certifica però che l'organizzazione ha costruito un sistema ordinato e verificabile per ridurre quel rischio, intercettarlo quando si presenta e reagire. È l'edizione corrente, che sostituisce la versione precedente del 2016, e si rivolge a chiunque tratti con denaro, appalti, terze parti o pubblica amministrazione: imprese private, enti pubblici, organizzazioni grandi e piccole.

Cosa chiede davvero la norma

Il cuore della ISO 37001:2025 è la valutazione del rischio di corruzione: l'organizzazione deve guardarsi dentro e capire dove è davvero esposta, attività per attività, ruolo per ruolo, area geografica per area geografica, e soprattutto sul fronte delle terze parti con cui lavora. Da questa fotografia discende tutto il resto.

Su quella base la norma chiede una politica anticorruzione chiara e una funzione di conformità dotata di reale autonomia e di risorse adeguate: non un nome su un organigramma, ma qualcuno che possa fare domande scomode senza essere messo a tacere. Servono poi una due diligence sulle terze parti e sulle operazioni a rischio, controlli concreti su regali, ospitalità, donazioni, sponsorizzazioni e conflitti di interesse (le zone grigie dove la corruzione si traveste da cortesia), e un canale di segnalazione che permetta a chi nota qualcosa di non voltarsi dall'altra parte. Il filo conduttore non è la burocrazia: è poter dimostrare, con prove alla mano, che l'impegno contro la corruzione è reale e presidiato.

Come ci si certifica, passo dopo passo

  1. Gap analysis: si confronta come si lavora oggi con quello che la norma chiede, per misurare la distanza e capire dove intervenire.
  2. Costruzione del sistema: si definiscono la valutazione del rischio, la politica, i ruoli della funzione di conformità, le procedure di due diligence e i controlli su regali, ospitalità e conflitti di interesse, e si attiva il canale di segnalazione.
  3. Audit interno e riesame: il sistema viene messo alla prova dall'interno per scovare i punti deboli, poi l'organo direttivo lo riesamina e si assume la responsabilità delle scelte. Senza il coinvolgimento dei vertici, una norma sull'anticorruzione resta lettera morta.
  4. Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale (le carte stanno in piedi?) e poi lo Stage 2 sul campo (quello che è scritto succede davvero?).

Superata la verifica, il certificato dura tre anni, con sorveglianze annuali che controllano che il sistema resti vivo e un rinnovo al termine del ciclo. Conta molto a chi ci si rivolge: per avere valore riconosciuto, il certificato va richiesto a un organismo di certificazione accreditato, non a chiunque rilasci un attestato.

Quanto tempo serve

Dipende dal punto di partenza. Un'organizzazione che ha già un Modello 231 ben rodato, procedure di acquisto strutturate e una cultura del controllo può arrivarci in poche settimane di messa a punto. Chi parte praticamente da zero deve mappare i rischi, scrivere le procedure e soprattutto farle entrare nelle abitudini quotidiane, e qui si ragiona in mesi. La parte lenta non è quasi mai la documentazione: è il tempo perché regole nuove diventino il modo normale di lavorare.

I vantaggi concreti, oltre al bollino

La ISO 37001:2025 è volontaria, ma sul mercato pesa. È spesso valorizzata come elemento premiante o come requisito in gare d'appalto, protocolli di legalità e rapporti con la pubblica amministrazione: attenzione però, non è un automatismo, va sempre verificato cosa chiede il singolo bando, perché varia da gara a gara. Sul piano interno affianca il Modello 231 proprio sul fronte specifico della corruzione e offre una prova verificata da una terza parte indipendente: non è l'azienda a dire di sé che è onesta, è un soggetto esterno a certificare che i controlli ci sono e funzionano.

Pensiamo a un fornitore nuovo che entra in filiera. Senza un sistema, lo si valuta a sensazione e si spera bene; con la due diligence prevista dalla norma, ci sono criteri scritti, una verifica tracciata e un punto a cui tornare se qualcosa non torna. È la differenza tra fidarsi e poter dimostrare di aver controllato.

Un solo sistema, più certificazioni

Come le altre norme di gestione, la ISO 37001:2025 è costruita sulla struttura di alto livello comune (Annex SL): stessa impalcatura di contesto, leadership, pianificazione, supporto, valutazione delle prestazioni e miglioramento. Questo la rende naturalmente integrabile con la ISO 37301 (sistemi di gestione della compliance, di cui l'anticorruzione è un tassello), con la ISO 9001 per la qualità e con la ISO/IEC 27001 per la sicurezza delle informazioni. Chi ne possiede già una può puntare a un audit integrato: meno giornate di verifica, un solo riesame della direzione, procedure condivise invece che tre sistemi separati che si ignorano.

Domande frequenti

È obbligatoria? No, la certificazione ISO 37001:2025 è volontaria. Diventa di fatto necessaria solo quando un bando, un protocollo di legalità o un contratto la richiedono espressamente.

Quanto dura il certificato? Tre anni, con sorveglianze annuali per confermare che il sistema sia ancora applicato, e poi un rinnovo.

Sostituisce il Modello 231? No. Sono strumenti distinti che si rafforzano a vicenda: la ISO 37001:2025 dà profondità e verifica esterna proprio sul fronte anticorruzione, dentro un impianto di prevenzione più ampio.

Accreditato o non accreditato? Per avere valore riconosciuto in gare e rapporti istituzionali, il certificato deve essere rilasciato da un organismo di certificazione accreditato. Un attestato non accreditato non offre le stesse garanzie.

Prima di muoverti, conviene capire a che punto sei davvero: la checklist di autovalutazione qui sotto ripercorre i requisiti della norma punto per punto, così da fotografare il tuo livello di partenza prima ancora di contattare un organismo.