No: non esiste un obbligo di legge a “fare la ISO 37001”. È una norma volontaria. Però, nella pratica, può diventare vincolante o quasi-obbligatoria in alcuni contesti, perché entra come requisito contrattuale, premiale o come prova di adeguatezza dei presidi.
Diventa particolarmente rilevante quando:
Gare d’appalto e contratti pubblici: in diversi bandi può comparire come elemento premiale (e talvolta come requisito richiesto nella lex specialis), perché segnala standard elevati di legalità e trasparenza.
Richieste di committenti e filiere: grandi aziende o enti possono pretendere presidi anticorruzione “certificati” o comunque allineati alla ISO 37001 da fornitori, agenti, intermediari e partner come condizione di collaborazione (logica di due diligence e riduzione del rischio nella catena).
Integrazione con Modello 231: la ISO 37001 non è richiesta dal D.Lgs. 231/2001, ma può rafforzare in modo molto concreto la parte anticorruzione del sistema di controllo (risk assessment, controlli su terze parti, flussi autorizzativi, segnalazioni, audit, azioni correttive). Tradotto: se vuoi dimostrare di avere misure “serie” e tracciabili, la ISO 37001 è uno standard forte.
Rating di Legalità: nel regolamento AGCM sul rating sono previste condizioni opzionali per aumentare il punteggio, tra cui l’adozione di modelli organizzativi di prevenzione e contrasto della corruzione (richiamo all’art. 3, comma 2, lett. g del regolamento attuativo). Per questo, in bandi e documentazione si trova spesso citata la ISO 37001 come evidenza di quel requisito.
Da un puntodi vista operativo, quando un’organizzazione dichiara (in policy, contratti, sito, offerte) di essere conforme alla ISO 37001 o di averla adottata, quella scelta diventa un impegno verificabile e può essere usata come parametro in audit di seconda parte, in controlli dei committenti e, in generale, in contenziosi reputazionali/contrattuali.
No. La ISO 37001:2025 non sostituisce leggi nazionali come il D.Lgs 231/2001 o la Legge n.190/2012. Al contrario, aiuta le organizzazioni a rafforzare le misure preventive già previste dalla normativa, garantendo una gestione più efficace dei rischi di corruzione.
No. Il Modello 231 è uno strumento giuridico-organizzativo finalizzato anche all’esimente, mentre la ISO 37001 è una norma tecnica volontaria certificabile che richiede un sistema di gestione anticorruzione. Possono integrarsi: la ISO 37001 rende più strutturate e verificabili molte misure anticorruzione utili anche al presidio dei rischi 231.
È utile a imprese e organizzazioni pubbliche o private che vogliono ridurre rischi corruttivi e reputazionali e dimostrare a clienti, partner, banche e PA di avere un sistema serio e verificabile. Ha senso soprattutto quando esistono appalti, subappalti, intermediari, consulenti commerciali, omaggi/spese di rappresentanza, sponsorizzazioni, donazioni o rapporti frequenti con la Pubblica Amministrazione.
Si parte da una gap analysis: cosa c’è già e cosa manca rispetto ai requisiti. Subito dopo si definiscono perimetro (sedi/processi/società), contesto e parti interessate, e si esegue la valutazione del rischio di corruzione. Senza una risk assessment fatta bene, il sistema resta “carta” e non regge né in audit né in pratica.
In genere servono: politica anticorruzione, valutazione e trattamento dei rischi, controlli su omaggi/spese/ospitalità, donazioni e sponsorizzazioni, gestione conflitti di interesse, controlli su terze parti (due diligence e clausole contrattuali), canali di segnalazione, formazione tracciata, gestione non conformità e azioni correttive, monitoraggi e riesame della direzione. La parte decisiva è l’evidenza applicativa: registri, verifiche, approvazioni e tracciabilità.
Con una due diligence proporzionata al rischio: identificazione e classificazione della terza parte, raccolta informazioni minime (assetto, reputazione, contenziosi, beneficiari effettivi se rilevante), verifiche documentate, clausole anticorruzione e diritto di audit quando sensato, monitoraggio periodico. Il punto non è “controllare tutto”, ma dimostrare un criterio coerente e ripetibile.
Controlla due cose: conformità ai requisiti della norma e, soprattutto, efficacia del sistema. Non basta avere procedure: servono prove di applicazione (registrazioni), coerenza tra risk assessment e controlli, gestione delle terze parti, gestione delle segnalazioni, verifiche interne, azioni correttive chiuse e riesame della direzione. In pratica: “lo fate davvero?”.
Dipende da dimensione e complessità. Di solito: analisi iniziale e piano di progetto, risk assessment, progettazione controlli e procedure, formazione e avvio operativo, audit interno, riesame, certificazione. Se si salta l’avvio operativo e si corre alla certificazione, in audit emergono non conformità o, peggio, un sistema fragile che non regge nel mantenimento.
Significa tenere vivo il sistema: aggiornare periodicamente la valutazione del rischio, riesaminare terze parti critiche, verificare omaggi/spese e transazioni sensibili, gestire segnalazioni e incidenti, svolgere audit interni pianificati, misurare indicatori e fare riesame della direzione. Se i controlli non vengono eseguiti con regolarità e tracciati, la certificazione diventa solo un costo e si rischiano rilievi in sorveglianza.
La Funzione di Conformità per la Prevenzione della Corruzione supporta l’organizzazione nel garantire che il sistema ISO 37001 sia applicato e mantenuto. In pratica: supervisiona l’implementazione, presidia il risk assessment, definisce/aggiorna controlli e procedure, verifica l’efficacia, supporta audit interni, monitora azioni correttive, promuove formazione e cultura, e riferisce alla Direzione su stato e criticità.
Significa che MODI può assumere formalmente l’incarico di Funzione di Conformità (FCPC) o affiancare la funzione interna, definendo responsabilità, reporting e attività ricorrenti. È utile quando l’azienda vuole un presidio competente e continuativo, evitando sistemi “una tantum”. L’obiettivo è far funzionare davvero il sistema: implementazione, audit, sorveglianze e mantenimento nel tempo.
È consigliato condurre una gap analysis tra il sistema attuale e i nuovi requisiti, aggiornare documentazione e procedure, formare il top management, sensibilizzare le parti interessate e pianificare audit interni e riesami della direzione per dimostrare l’efficacia del sistema aggiornato. MODI SRL supporta la Clientela in tutte le fasi: analisi iniziale (gap), valutazione del rischio, progettazione e implementazione del sistema, audit interni, preparazione alla certificazione, sorveglianze, attività di mantenimento, adeguamento normativo oltre all’eventuale assunzione dell’incarico di Funzione di Conformità. Per parlare con i tecnici chiamare il numero verde gratuito 800300333. In alternativa, è disponibile un modulo di contatto con autovalutazione. Dopo l’invio, l’ufficio tecnico invierà una proposta di incontro e economica senza alcun impegno.
Ultima verifica dei contenuti 07/02/2026
