ISO 9001:2026: quando la compliance costa più di quanto rende (o forse no)

C'è una domanda che torna ogni volta che una norma viene aggiornata, e torna anche adesso, mentre il settore si prepara alla nuova ISO 9001:2026: vale davvero la pena?

Non è una domanda retorica. È la domanda più concreta che un'organizzazione possa porsi.

La norma più diffusa in Italia sta per cambiare

Per capire la portata di quello che sta succedendo, bastano i numeri.

Secondo i dati ACCREDIA 2024, in Italia ci sono 138.810 siti certificati ISO 9001 - quasi il triplo della seconda norma in classifica, e più di tutte le altre messe insieme:

Norma Siti certificati 2024

ISO 9001 Qualità 138.810

ISO 14001 Ambiente 43.720

ISO 45001 –Sicurezza 40.682

UNI/PdR 125 Parità di genere 27.179

ISO/IEC 27001 Sicurezza informatica 7.398

ISO 37001 Anticorruzione 6.628

ISO 50001 Energia 5.771

ISO 22000 Sicurezza alimentare 3.911

ISO/IEC 20000-1 IT service management 572

L'Italia è prima in Europa e seconda nel mondo per numero di siti certificati. La ISO 9001 non è una norma tra le tante: è la più diffusa nel paese, e con essa si integrano tutti gli altri standard - ambiente, sicurezza, energia, ecc.

Cosa cambia davvero

Le modifiche tecniche sono contenute. Non è un rifacimento, ma un aggiornamento con una direzione precisa: più governance, più attenzione all'ESG e al digitale.

I cambiamenti con impatto reale riguardano tre aree: la leadership, che dovrà essere dimostrabile nei comportamenti e non solo nei documenti firmati; la gestione del rischio, che diventa un processo continuo invece di un registro statico; e il digitale, con la necessità di garantire l'affidabilità dei dati usati nei processi.

La direzione è chiara: meno adempimento formale, più sostanza verificabile.

I costi certi, i ricavi incerti

Quando arriva una revisione normativa, i costi sono la prima cosa che si materializza. Ci sono quelli interni - ore del Quality Manager, documentazione da aggiornare, personale da formare - che non compaiono su nessuna fattura ma hanno comunque un prezzo. E ci sono quelli esterni: consulenti, enti di certificazione, corsi di aggiornamento.

Ma il costo più pesante è spesso quello meno visibile: produrre documentazione che nessuno leggerà. Procedure scritte per l'auditor, non per chi lavora. Registrazioni create per dimostrare conformità, non per migliorare i processi. Non è compliance - è teatro. E il teatro costa, senza restituire nulla.

Dall'altra parte ci sono i benefici: una cultura organizzativa più solida, meno sprechi, meno rework. Reali, ma difficili da quantificare con la stessa certezza dei costi. Si costruiscono nel tempo, con continuità, e raramente appaiono nel bilancio dell'anno in cui si paga la transizione.

Vale allora la pena metterci mano? La risposta non è immediata - e questo è già parte del problema. Il ritorno di un sistema di compliance ben fatto non si vede nell'anno in cui si paga la transizione, né nel trimestre successivo. Si vede nel tempo: quando i processi reggono alla pressione, quando le persone sanno come muoversi senza aspettare istruzioni, quando un cambiamento esterno non rimette tutto in discussione da capo. È un investimento con un orizzonte lungo, e come tutti gli investimenti con un orizzonte lungo, richiede di resistere alla tentazione di misurarlo troppo presto.

La domanda vera, allora, non è se adeguarsi. È come fare in modo che questo diventi un investimento - e non l'ennesimo costo da assorbire.

Adeguarsi non basta più

Di fronte a una revisione normativa, le strade percorribili sono sempre state due. La prima è quella documentale: aggiornare procedure, policy e registrazioni per allinearsi ai nuovi requisiti. Fino ad oggi è bastata a molti per superare l'audit, con costi contenuti e impatto limitato - sull'organizzazione, e sui processi reali.

La seconda è più impegnativa: formare le persone, cambiare i comportamenti, far entrare la norma nel modo in cui il lavoro viene davvero fatto. Richiede più tempo e più risorse, ma è anche l'unica che produce qualcosa di duraturo.

La ISO 9001:2026 restringe di fatto lo spazio per scegliere la prima. Quando la norma richiede che la cultura della qualità sia dimostrabilmente vissuta - nelle decisioni, nei comportamenti, nella consapevolezza concreta delle persone - un auditor che trova documenti aggiornati e una struttura che non li conosce ha già tutto quello che gli serve. Aggiornare i documenti non basta più. Chi si prepara alla transizione con la sola logica documentale non si sta preparando: si sta illudendo.

Questo significa che la seconda strada è obbligata. Ma perché non diventi solo un costo più alto, serve che sia anche utile - e per esserlo, servono gli strumenti giusti.

Il problema non è la norma che cambia. È il modello.

La ISO 9001:2026 non sarà l'ultima modifica. Arriverà un altro aggiornamento, un'altra norma, un altro periodo di transizione - e ogni volta il ciclo ricomincia da capo: gap analysis, consulenti, documentazione, costi. Non perché le norme cambino troppo spesso, ma perché la maggior parte delle organizzazioni ha costruito il proprio sistema di gestione attorno alla norma, non indipendentemente da essa. Quando la norma si sposta, si sposta tutto con lei.

C'è un altro aspetto da considerare. Molti requisiti della ISO 9001 sono già presenti, in forma diversa, in altri standard - ambiente, sicurezza, energia. La sovrapposizione è enorme, e spesso ignorata. Ogni revisione viene affrontata come se si ricominciasse da zero, pagando più volte per requisiti che un'organizzazione ha già, da qualche parte, in qualche forma.

Il problema, allora, non è trovare consulenti più bravi per gestire la transizione. È che il modello su cui si lavora non regge al cambiamento - perché non è stato pensato per contenerlo. Quello che serve è un sistema che non si costruisca attorno a una norma specifica, ma che evolva con l'organizzazione: capace di aggiornare solo i pezzi che servono, quando servono, senza rimettere tutto in discussione ogni volta che arriva una revisione.

Gli strumenti fanno la differenza

Scegliere la strada della diffusione reale richiede strumenti che siano pensati per le persone, non per l'auditor. La compliance non si diffonde attraverso archivi documentali ben organizzati - si diffonde quando le informazioni giuste arrivano alle persone giuste, nel momento in cui ne hanno bisogno, in una forma che riescono a usare.

Il passaggio chiave non è la formazione in sé. È la consapevolezza che ne deriva - o che non ne deriva. Si può formare una persona su una procedura e trovarla, sei mesi dopo, che lavora esattamente come prima. La formazione trasferisce contenuti. La consapevolezza cambia il modo in cui si prendono le decisioni, si gestiscono le eccezioni, si riconosce un problema prima che diventi una non conformità. È un risultato diverso, e richiede strumenti diversi.

Questi strumenti non sono solo tecnici. Sono anche organizzativi: il modo in cui la responsabilità è distribuita, come circolano le informazioni, chi presidia cosa e con quale frequenza. Un sistema digitale ben progettato non serve a nulla se l'organizzazione intorno a lui non è strutturata per usarlo. E viceversa: un'organizzazione ben disegnata fatica a esprimere il proprio potenziale senza strumenti che la supportino concretamente.

È la differenza tra un sistema progettato per superare un audit e uno progettato per far funzionare meglio un'organizzazione. Il primo costa ogni volta. Il secondo, nel tempo, restituisce.

E tornando al titolo….. (O forse no).

Quando la compliance è costruita così - con un metodo che evolve con l'organizzazione, attorno alle persone e non attorno all'audit - smette di essere un costo da assorbire a ogni revisione e diventa il modo in cui l'organizzazione funziona davvero. E quando funziona così, la prossima revisione normativa non è più un costo, ma la conferma che la direzione era già quella giusta.

Maggiori informazioni nella pagina dedicata a complify