Prova subito

Sei certificazioni, un solo obiettivo: rendere l'AI aziendale degna di fiducia

Sei certificazioni, un solo obiettivo: rendere l'AI aziendale degna di fiducia

Questa settimana Memori ha completato il quadro: con l'arrivo di ISO 9001:2015 (Qualità) e ISO/IEC 27001:2022 (Sicurezza delle Informazioni), l'azienda è ora in possesso di tutte e sei le attestazioni che si era prefissata. Insieme alle già ottenute ISO/IEC 27017:2021, ISO/IEC 27018:2020, ISO 42001:2023 e alla conformità alla direttiva NIS2, si chiude un percorso lungo, fatto di documentazione, evidenze e lavoro trasversale tra i reparti.

Ma un elenco di sigle, da solo, non dice molto. La domanda che conta è un'altra: perché queste certificazioni sono importanti proprio per chi sceglie una piattaforma di agenti AI? In questo articolo entriamo nel merito, una per una, spiegando cosa attestano e come si legano al modo in cui AIsuru è costruita.

Perché un orchestratore agentico concentra tre rischi insieme

Un agente AI non è un chatbot che risponde a domande. È un sistema che legge dati aziendali, si integra con sistemi terzi e compie azioni per conto delle persone. Questo significa che una piattaforma come AIsuru tocca contemporaneamente le tre aree più delicate di un'organizzazione:

  1. I dati — documenti, anagrafiche, pratiche, know-how riservato.
  2. Il cloud — l'ambiente in cui gli agenti girano, si integrano e comunicano.
  3. L'AI che decide e agisce — modelli che generano contenuti, chiamano strumenti, eseguano operazioni.

Ogni certificazione presidia un pezzo di questo rischio, e — aspetto decisivo — lo fa con la verifica di un ente terzo indipendente. Non è l'azienda che dichiara di essere sicura: è un auditor accreditato che lo attesta, con audit periodici di sorveglianza. La differenza, per chi acquista, è enorme: si passa dal fidarsi di una promessa all'affidarsi a un sistema verificato.

Vediamole nel dettaglio, partendo dalle fondamenta e salendo fino allo strato più nuovo, quello dell'AI.

ISO/IEC 27001:2022 — Sicurezza delle Informazioni

È lo standard di riferimento internazionale per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Non certifica un singolo prodotto, ma il modo in cui l'organizzazione governa la sicurezza: analisi del rischio, definizione dei controlli (l'Annex A dello standard), dichiarazione di applicabilità, gestione degli incidenti, miglioramento continuo. L'azienda definisce il perimetro, dimostra in audit di gestirlo con continuità, e ottiene un certificato rilasciato da un ente accreditato.

Perché conta per un orchestratore agentico. È la base su cui poggia tutto il resto. Quando un agente accede a un CRM, a un gestionale o a un archivio documentale, la domanda del cliente è: chi garantisce che quei dati siano trattati con processi sicuri e verificabili? La ISO 27001 risponde a livello di sistema — non con una singola misura tecnica, ma con un metodo strutturato di governo del rischio informativo. In AIsuru questo si traduce in scelte architetturali concrete: credenziali cifrate, accessi basati sui ruoli (RBAC), tracciabilità delle operazioni, gestione degli incidenti.

ISO/IEC 27017:2021 — Sicurezza delle informazioni per i servizi cloud

La 27017 estende la 27001 con i controlli specifici del cloud. Affronta i temi che nascono quando l'infrastruttura non è più interamente sotto il tetto dell'azienda: la ripartizione delle responsabilità tra fornitore e cliente, la configurazione sicura dei servizi, la segregazione degli ambienti, la gestione degli accessi amministrativi negli ambienti virtualizzati.

Perché conta per un orchestratore agentico. Gli agenti vivono e si integrano in ambienti cloud. Un orchestratore che collega più sistemi, invoca API e gestisce sessioni deve dimostrare di padroneggiare i rischi tipici del cloud, non solo quelli del datacenter tradizionale. La 27017 dà al cliente una garanzia precisa: le responsabilità sono chiare e i controlli cloud sono presidiati. È particolarmente rilevante per chi adotta AIsuru in modalità SaaS o private cloud, dove la corretta gestione del modello di responsabilità condivisa fa la differenza.

ISO/IEC 27018:2020 — Protezione dei dati personali (PII) nel cloud

Se la 27017 riguarda la sicurezza del cloud in generale, la 27018 è dedicata a un aspetto specifico e delicatissimo: la protezione dei dati personali (PII) trattati nel cloud. Definisce controlli su come questi dati vengono raccolti, usati, conservati e cancellati, sul consenso, sulla trasparenza verso l'interessato e sui limiti all'uso dei dati da parte del fornitore.

Perché conta per un orchestratore agentico. Un agente che analizza un documento, gestisce una pratica cliente o risponde a un dipendente tocca, quasi sempre, dati personali. La 27018 trasforma la privacy da dichiarazione a pratica dimostrata: è la controparte operativa, nel cloud, dei principi del GDPR. Per un'azienda che deve condurre una valutazione d'impatto (DPIA) prima di mettere in produzione un agente, poter contare su un fornitore certificato 27018 semplifica e rafforza tutta la catena di conformità.

ISO 42001:2023 — Artificial Intelligence Management System

Qui arriviamo allo strato che distingue davvero. La ISO/IEC 42001:2023 è il primo standard internazionale al mondo dedicato alla gestione dell'intelligenza artificiale (AI Management System, AIMS). Non certifica un modello o un algoritmo: certifica che l'organizzazione ha un sistema strutturato per sviluppare, fornire e usare l'AI in modo responsabile, trasparente e sotto controllo del rischio, lungo tutto il ciclo di vita. Affronta le sfide tipiche dell'AI — opacità, bias, spiegabilità, supervisione — e si integra con gli altri sistemi di gestione già esistenti (9001, 27001).

Il punto più rilevante: la 42001 è progettata per allinearsi all'EU AI Act. Chi la adotta si prepara strutturalmente ai requisiti del regolamento europeo, e trasforma un obbligo in un vantaggio: sempre più spesso, negli acquisti B2B e nella Pubblica Amministrazione, la governance dell'AI è un requisito di gara, non un plus.

Perché conta per un orchestratore agentico. È la certificazione che separa chi governa l'AI da chi semplicemente la usa. Una piattaforma su cui si costruiscono agenti che agiscono deve poter dimostrare che esiste un processo per valutarne i rischi, mantenere la supervisione umana, documentare le decisioni e migliorare nel tempo. È esattamente la filosofia con cui è nata AIsuru: l'AI come strumento potenziato dall'uomo e tenuto sotto controllo umano, non come automazione cieca. La 42001 mette un timbro indipendente su questo approccio.

NIS2 — Direttiva (UE) 2022/2555

La NIS2 non è una certificazione ISO, ma una direttiva europea di cybersecurity, recepita in Italia con il D.Lgs. 138/2024 ed entrata in vigore il 16 ottobre 2024. Stabilisce obblighi stringenti per i soggetti essenziali e importanti di 18 settori strategici: gestione del rischio, notifica degli incidenti all'ACN in tempi certi, misure tecniche come MFA e crittografia, comunicazioni sicure, formazione, e — novità dirompente — la responsabilità personale dei vertici aziendali. Le sanzioni sono pesanti: fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali.

C'è un elemento che rende la NIS2 particolarmente rilevante per un fornitore di tecnologia come Memori: la sicurezza della catena di fornitura. La direttiva estende gli obblighi ai rapporti con i fornitori e i service provider. In pratica, un ente critico o una grande impresa nel perimetro NIS2 deve pretendere garanzie di sicurezza dai propri fornitori — incluse le tecnologie AI che adotta.

Perché conta per un orchestratore agentico. Significa che AIsuru può essere adottata da e per organizzazioni nel perimetro NIS2 — infrastrutture critiche, sanità, energia, pubblica amministrazione — senza diventare l'anello debole della loro catena di sicurezza. Per chi valuta una piattaforma AI da mettere al centro dei propri processi, avere un fornitore allineato alla NIS2 non è un dettaglio: è la condizione che rende l'adozione possibile. È bene precisare che la NIS2 è un adempimento normativo e non sostituisce, né è sostituita, dalle certificazioni ISO: la ISO 27001 è una base solida, ma la conformità NIS2 aggiunge obblighi specifici (notifiche, supply chain, responsabilità apicale) che vanno presidiati a parte. Averli entrambi significa coprire sia il sistema di gestione sia l'obbligo di legge.

ISO 9001:2015 — Sistema di Gestione della Qualità

Chiudiamo con quella che, in apparenza, è la più "classica", ma che in realtà tiene insieme tutto il resto. La ISO 9001 certifica il sistema di gestione della qualità: processi definiti e documentati, orientamento al cliente, misurazione e miglioramento continuo.

Perché conta per un orchestratore agentico. La qualità è ciò che garantisce che sicurezza, governance dell'AI e protezione dei dati non siano episodi isolati, ma un metodo ripetibile. Un cliente che affida i propri processi a una piattaforma AI vuole sapere che l'azienda dietro quella piattaforma lavora in modo strutturato, che rilascia miglioramenti in modo controllato, che raccoglie e gestisce i feedback. La 9001 è la cornice che rende tutto il resto sostenibile nel tempo.

Come si tengono insieme: difesa in profondità

Prese singolarmente, ognuna di queste sei presidia un rischio. Prese insieme, formano una difesa in profondità che copre l'intero perimetro di un orchestratore agentico:

Non è un caso che questi standard siano progettati per integrarsi: la 42001 nasce esplicitamente compatibile con 9001 e 27001, così che il governo dell'AI si innesti nel sistema di gestione già esistente invece di vivere come un silo separato.

Cosa significa, concretamente, per chi adotta AIsuru

Per un responsabile IT, un DPO o un ufficio acquisti, tutto questo si traduce in vantaggi pratici e misurabili:

E soprattutto, queste certificazioni non sono un livello di vernice sopra il prodotto: rispecchiano il modo in cui AIsuru è costruita. Le credenziali dei connettori cifrate e mai esposte al modello, la supervisione umana, la tracciabilità delle azioni, la scelta di deployment fino all'on-premise, la governance centralizzata: sono le stesse pratiche che gli standard richiedono. La certificazione, in questo senso, non ha cambiato ciò che facciamo — ha reso verificabile ciò che già facevamo.

Il vero standard è la fiducia

La conoscenza privata, controllabile e governata è sempre stata il faro di Memori. Con queste sei attestazioni quel principio smette di essere una dichiarazione di intenti e diventa qualcosa che un ente terzo ha esaminato, misurato e confermato — dalla prima all'ultima riga.

Per chi porta l'AI dentro processi che contano — imprese e Pubblica Amministrazione — è esattamente questa la differenza che conta: non la potenza di un modello, ma la fiducia che si può dimostrare intorno ad esso.