--- title: "Non abbiamo cambiato i nostri processi, li abbiamo certificati ISO e SBTi" url: "https://www.sparkfabrik.com/it/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/" lang: "it" type: "blog-post" date: "2026-06-17" lastmod: "2026-06-17" author: "SparkFabrik Team" description: "La conformità normativa trasforma la fiducia soggettiva in dati verificabili tramite enti terzi accreditati. Scopri come le validazioni ISO e SBTi garantiscono la sicurezza dei dati nel cloud e la sostenibilità ambientale." tags: ["Digital Transformation","SparkFabrik"] schema: "@context": "https://schema.org" "@type": "BlogPosting" "headline": "Non abbiamo cambiato i nostri processi, li abbiamo certificati ISO e SBTi" "description": "La conformità normativa trasforma la fiducia soggettiva in dati verificabili tramite enti terzi accreditati. Scopri come le validazioni ISO e SBTi garantiscono la sicurezza dei dati nel cloud e la sostenibilità ambientale." "url": "https://www.sparkfabrik.com/it/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/" "datePublished": "2026-06-17T00:00:00+00:00" "dateModified": "2026-06-17T00:00:00+00:00" "author": "@type": "Person" "name": "SparkFabrik Team" "image": "https://www.sparkfabrik.com/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/featured.webp" "publisher": "@type": "Organization" "name": "SparkFabrik" "url": "https://www.sparkfabrik.com" "logo": "https://www.sparkfabrik.com/images/logo.svg" --- # Non abbiamo cambiato i nostri processi, li abbiamo certificati ISO e SBTi **Autore:** SparkFabrik Team **Pubblicato:** 17 June 2026 **Tags:** Digital Transformation, SparkFabrik --- {{% tldr %}}SparkFabrik trasforma l'impegno aziendale in asset verificabili attraverso le certificazioni ISO 27001, 27017 e 27018 per la sicurezza cloud e la validazione scientifica SBTi (ID 40017722) per la sostenibilità. L'adozione di standard internazionali come WCAG 2.2 e diciassette anni di contributi open source pubblici garantiscono una trasparenza radicale. Questo approccio metodologico permette ai partner di sostituire la semplice fiducia con prove ispezionabili, assicurando conformità normativa e solidità tecnica nei processi digitali.{{% /tldr %}} _Un fornitore che afferma di essere "sicuro" e uno che esibisce un certificato accreditato con un numero pubblico controllabile sembrano dire la stessa cosa. Non è così. Il primo ti chiede di fidarti, il secondo ti permette di verificare. In fase di due diligence, è l'unica distinzione che protegge davvero chi sceglie._ Per questo è utile chiarire subito un punto: in tema di **certificazioni e conformità normativa**, i quattro pilastri di cui parliamo, sicurezza, sostenibilità, open source e accessibilità, non sono iniziative nate ieri. Sono processi che portiamo avanti da anni e che oggi hanno una prova esterna al posto di una dichiarazione interna. Le **certificazioni ISO SparkFabrik** e le validazioni scientifiche rendono questo impegno ispezionabile. Tutte le prove sono raccolte nella [pagina che riunisce questi quattro impegni](/it/impegno/), pensata proprio perché chiunque possa controllare invece di credere sulla parola. Sono quattro lenti diverse puntate sulla stessa idea. La prima, dove la verifica è più codificata, è la sicurezza. ## Perché le certificazioni ISO SparkFabrik sono fondamentali per la sicurezza? Le certificazioni ISO SparkFabrik (27001:2022, 27017:2015, 27018:2025) garantiscono che la sicurezza delle informazioni e dei dati nel cloud sia gestita tramite processi documentati e verificati da enti terzi. Valide dal 2026 al 2029 (certificato ITA-10325, rilasciate da Scandinavian Certification, accreditata Norwegian Accreditation), assicurano gestione del rischio, continuità operativa e supporto strutturato alla conformità GDPR. ![L'ecosistema delle 3 Certificazioni ISO](/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/inline-0.webp) Una certificazione ISO non certifica un prodotto, ma un **sistema di gestione**. È una distinzione che cambia tutto, e che molti comunicati aziendali confondono volentieri. Quando un ente accreditato rilascia una **ISO/IEC 27001:2022**, non sta dicendo che un singolo software è sicuro in un dato momento. Sta attestando che esiste un processo documentato e ripetibile per gestire la sicurezza delle informazioni: come si identificano i rischi, come si reagisce agli incidenti, come si garantisce continuità. La sicurezza, in altre parole, non è un comportamento occasionale ma un metodo verificato. SparkFabrik ha conseguito tre certificazioni complementari, che insieme coprono i piani su cui un cliente espone i propri dati quando affida un progetto a un partner esterno: * **ISO/IEC 27001:2022**, per la sicurezza delle informazioni; * **ISO/IEC 27017:2015**, per la sicurezza specifica degli ambienti cloud; * **ISO/IEC 27018:2025**, per la protezione dei dati personali nel cloud. Per chi valuta un fornitore, questo si traduce in tre garanzie concrete: gestione del rischio documentata, continuità del servizio anche in caso di incidente e un supporto strutturato alla conformità GDPR, il regolamento europeo che impone alle organizzazioni precisi obblighi sul trattamento dei dati personali. Un sistema di gestione certificato non rende automatica la conformità, ma fornisce l'impalcatura su cui costruirla. Un dettaglio cruciale, spesso trascurato, riguarda l'**accreditamento**. Le nostre certificazioni sono state rilasciate da un organismo accreditato, con un certificato identificato da un codice univoco e una validità temporale precisa. Quei riferimenti non sono decorazione. > Una dichiarazione sul sito non si può controllare. Un numero di certificato rilasciato da un ente accreditato sì. Chiunque, un security officer in fase di valutazione o un responsabile procurement, può risalire all'ente accreditante e verificare che la certificazione sia reale e attiva. Questa è la sostanza: non l'aver scritto "siamo sicuri", ma l'aver reso quell'affermazione controllabile da un terzo indipendente. Il significato tecnico e metodologico di affidarsi a un partner con [sistemi di gestione certificati ISO](/it/sicurezza/) sta tutto in questa possibilità di ispezione. La sicurezza si verifica con un audit periodico. Ma esiste un terreno dove la verifica è ancora più stringente, perché i numeri non finiscono in un report riservato: finiscono su un registro pubblico, validati con metodo scientifico. ## Come si riconosce un impegno di sostenibilità aziendale reale? Un impegno reale si riconosce dalla validazione scientifica indipendente e dalla presenza su registri pubblici. I target di riduzione emissioni di SparkFabrik sono validati dalla Science Based Targets initiative (SBTi ID 40017722), classificati 1.5°C-aligned, con anno base 2024 e target 2030. Questo rende l'impegno misurabile e verificabile. ![La piramide della trasparenza SBTi](/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/inline-1.webp) Sulla sostenibilità il greenwashing è la regola, non l'eccezione. "Carbon neutral", "green", "a impatto zero" sono affermazioni che non costano nulla pronunciare e che quasi nessuno è in grado di smentire, perché manca il termine di paragone. La differenza tra un impegno reale e uno dichiarato si riduce a un solo elemento: la **validazione da parte di un ente scientifico indipendente** e la presenza su un registro pubblico consultabile. Per valutare la **sostenibilità di un'azienda software** in modo credibile, non esistono scorciatoie alternative a questa. I target di riduzione delle emissioni di SparkFabrik sono validati dalla **Science Based Targets** initiative attraverso il percorso semplificato dedicato alle PMI, e sono classificati come 1.5°C-aligned, cioè coerenti con l'obiettivo dell'Accordo di Parigi di contenere il riscaldamento globale entro 1,5°C. L'anno base è il 2024, l'anno target il 2030, e l'identificativo pubblico è **SBTi ID 40017722**. I target, nel wording ufficiale, sono questi: **Scope 1 emissioni a zero fino al 2030; Scope 2 riduzione assoluta del 42% entro il 2030 dall'anno base 2024; Scope 3 misurare e ridurre.** C'è un dato che, più di ogni dichiarazione, racconta cosa significhi misurare sul serio. Il **97% delle nostre emissioni totali ricade nello Scope 3**, la categoria più difficile da controllare perché comprende le attività indirette. Le voci principali sono: * pendolarismo e lavoro remoto (38%); * trasferte (22%); * acquisti IT (20%); * beni strumentali (19%). Dichiarare quel 97% è scomodo. Significa ammettere pubblicamente che la parte più consistente del proprio impatto sfugge al controllo diretto. È esattamente il contrario del greenwashing, che tende a esibire i numeri facili e a nascondere quelli difficili. > Sottoporsi a una metodologia scientifica con anno base, anno target e un ID pubblico significa accettare di essere misurati. E di poter fallire pubblicamente. È questo che dà valore al numero. Chiunque può controllare l'ID 40017722 sul [registro ufficiale delle aziende che hanno preso un impegno climatico validato](https://sciencebasedtargets.org/companies-taking-action) e confrontare i target con i progressi. Lo stesso vale per il quadro completo del percorso, documentato sulla [pagina dedicata alla nostra strategia di riduzione](/it/sostenibilita/). Un numero che può essere smentito da un terzo è più affidabile di uno slogan che nessuno può contestare. A questo punto un lettore scettico ha tutto il diritto di obiettare. Certificazioni e validazioni non sono comunque, alla fine, solo "bollini" da esibire nelle gare d'appalto? È un'obiezione seria, e merita una risposta seria. ## Le certificazioni sono solo bollini di marketing? No, se supportate da verifiche continue e contributi ispezionabili. Un audit ISO fallito comporta la revoca del certificato, dimostrando che i processi devono essere mantenuti. Inoltre, diciassette anni di contributi open source pubblici (dal 2008) offrono una trasparenza radicale e non falsificabile che nessun bollino di marketing può replicare. ![Modello di verifica: Top-Down vs Bottom-Up](/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/inline-2.webp) Prendiamola nella sua versione più forte, senza addolcirla. Molte aziende collezionano certificazioni come trofei di marketing. Le ottengono una volta, mettono il logo in homepage, e nel frattempo i processi reali restano identici a prima. Il certificato diventa decorazione, non garanzia. L'audit annuale si trasforma in un esercizio formale da superare con il minimo sforzo. Questa critica è legittima. Una certificazione ottenuta e poi disattesa è effettivamente un bollino, e fingere il contrario sarebbe disonesto. Il mantenimento della certificazione richiede audit periodici rigorosi: se durante queste verifiche emergono non-conformità gravi e i processi non vengono rispettati, l'ente accreditato **revoca il certificato**. Non è un traguardo acquisito per sempre, ma un esame continuo. Tuttavia, serve una prova di serietà ulteriore che non si possa ottenere una tantum, che non si possa comprare e che non si possa falsificare nel tempo. Quella prova esiste, ed è il contributo pubblico verificabile. **Il codice open source è la forma più trasparente di affidabilità**, perché ogni commit è datato, pubblico e tracciabile da chiunque, per sempre. Non c'è modo di simularlo retroattivamente. SparkFabrik realizza contributi pubblici **open source dal 2008**, seguendo un principio preciso: costruirlo, non limitarsi a usarlo. È una differenza sostanziale rispetto a chi adotta software libero solo per risparmiare sulle licenze. Questa scelta si riflette in credenziali tecniche concrete: siamo **Drupal Certified Partner Gold**, **Kubernetes Certified Service Provider** e membri di **CNCF**, **Linux Foundation Europe** e **OpenSSF**, le fondazioni che governano gli standard cloud native e la sicurezza del software open source. I moduli che pubblichiamo sono ispezionabili da chiunque sul [profilo ufficiale SparkFabrik su drupal.org](https://www.drupal.org/sparkfabrik). C'è di più, e tocca direttamente la sicurezza di cui parlavamo all'inizio. La partecipazione a OpenSSF e la mappatura dei rischi delle dipendenze software, al centro delle [best practice per la sicurezza della filiera che abbiamo documentato](/it/blog/best-practices-per-la-supply-chain-security-del-software/), rispondono alla stessa logica di trasparenza verificabile richiesta da normative come il Cyber Resilience Act, che dal 2027 imporrà requisiti di sicurezza stringenti e documentati per tutto il software immesso sul mercato europeo. Ed ecco il cuore della tesi. Una certificazione ISO e diciassette anni di commit pubblici dimostrano la stessa cosa da due direzioni opposte: * la certificazione è una **verifica top-down**, in cui un ente terzo controlla i tuoi processi; * l'open source è una **verifica bottom-up**, in cui chiunque può ispezionare il tuo lavoro, riga per riga. Insieme rendono l'obiezione "è solo un bollino" insostenibile. Perché un bollino non lo si mantiene pubblico per diciassette anni. La verifica completa di questo approccio è raccolta nella [pagina che documenta il nostro lavoro nel software libero](/it/open-source/). Resta un pilastro che mette alla prova questa filosofia nel punto esatto in cui le aziende barano di più: l'accessibilità, troppo spesso aggiunta alla fine. ## Cosa significa trattare l'accessibilità come requisito di progetto? Significa integrare l'accessibilità fin dal primo giorno di design e sviluppo, rispettando gli standard WCAG 2.2 AA ed EN 301 549. Questo approccio metodologico garantisce una conformità reale all'European Accessibility Act (in vigore da giugno 2025), evitando soluzioni posticce e superficiali applicate a ridosso del lancio. ![Shift Left dell'Accessibilità](/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/inline-3.webp) Immagina un sito reso "accessibile" la settimana prima del lancio, con uno script aggiunto sopra il sito che promette di sistemare tutto automaticamente. È l'equivalente digitale dell'azienda che colleziona bollini: una toppa applicata sopra un lavoro pensato senza alcuna attenzione a chi naviga con uno screen reader o senza usare il mouse. L'accessibilità è il **banco di prova definitivo** della tesi, perché è il pilastro dove la distanza tra "dichiarato" e "fatto" è più visibile a occhio nudo. Una pagina costruita male non diventa accessibile applicando uno strato esterno: cambia solo l'apparenza per gli strumenti automatici di scansione, non l'esperienza reale delle persone. In SparkFabrik trattiamo l'accessibilità come un **requisito di progetto iniziale**, non come un'aggiunta finale. La progettazione è conforme allo standard **WCAG 2.2 AA**, il riferimento internazionale per le linee guida sui contenuti web, e allo standard europeo **EN 301 549**, in linea con quanto impone l'**European Accessibility Act**. Vale la pena spiegare cosa significhino questi acronimi per chi non li maneggia ogni giorno. L'European Accessibility Act è la direttiva europea che, a partire da giugno 2025, obbliga un'ampia gamma di prodotti e servizi digitali, dall'e-commerce ai servizi bancari, a essere accessibili alle persone con disabilità. EN 301 549 è lo standard tecnico che traduce quell'obbligo in requisiti verificabili, e a sua volta si appoggia alle WCAG. Non sono raccomandazioni: sono criteri rispetto ai quali un servizio può essere giudicato conforme o non conforme. Progettare secondo questi standard fin dall'inizio è l'equivalente dei commit pubblici: un metodo, non una pezza. Significa che la struttura semantica, i contrasti cromatici, la navigazione da tastiera e la gestione del focus sono decisioni di design prese al primo giorno, non correzioni rincorse all'ultimo. Il contesto normativo che rende questo approccio non più rinviabile è ricostruito nell'[analisi delle scadenze dell'European Accessibility Act](/it/risorse/hot-topics/accessibilita/). Così si chiude il cerchio. I quattro pilastri sono quattro modi della stessa scelta: rendere il lavoro verificabile invece che semplicemente dichiarato. Un audit ISO controlla i processi. Un registro SBTi controlla le emissioni. Un repository pubblico controlla il codice. Uno standard di accessibilità controlla l'interfaccia. In ogni caso, qualcuno di esterno può verificare ciò che noi affermiamo. ## Il filo che unisce audit, emissioni, codice e interfacce La verificabilità di terza parte non è burocrazia. È il modo in cui la fiducia smette di essere una questione di parola data e diventa misurabile. ![La Mappa della Verificabilità](/images/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/inline-4.webp) Per chi seleziona un partner tecnologico, il criterio pratico è semplice e si può ribaltare su qualunque fornitore. Chiedi il numero del certificato. Chiedi l'ID sul registro pubblico. Chiedi il link ai repository. Se la risposta è una pagina di marketing invece di un riferimento controllabile, la differenza tra chi dichiara e chi prova è già emersa, prima ancora di firmare un contratto. L'asticella di ciò che un cliente può legittimamente pretendere si sta alzando. È un bene per tutto il settore, perché restringe lo spazio in cui basta affermare per essere creduti. Questo movimento si inserisce in una visione metodologica più ampia, [la stessa che ci porta a sostenere le nostre certificazioni ISO 27001, 27017 e 27018 con prove verificabili anziché dichiarazioni](/it/sicurezza/). Il senso del nostro lavoro sui quattro pilastri è esattamente questo: trasformare la cura quotidiana in qualcosa che un cliente possa controllare senza doverci credere sulla parola. Tutte le prove sono raccolte e consultabili nella [pagina che riunisce i nostri impegni](/it/impegno/). --- ## Domande Frequenti ### Cosa garantisce una certificazione ISO/IEC 27001 a un cliente? Certifica che esiste un sistema di gestione della sicurezza delle informazioni documentato e auditato da un ente terzo, non un singolo comportamento occasionale. Per il cliente significa gestione del rischio strutturata, continuità del servizio e supporto alla conformità GDPR. Le certificazioni SparkFabrik (certificato ITA-10325) sono valide dal 2026 al 2029. ### Come si verifica un target di sostenibilità validato da SBTi? I target validati dalla Science Based Targets initiative sono consultabili sul registro pubblico ufficiale tramite l'ID azienda. SparkFabrik ha SBTi ID 40017722, target classificati 1.5°C-aligned, anno base 2024 e anno target 2030. La verificabilità pubblica è ciò che distingue un impegno reale dal greenwashing dichiarativo. ### Perché i contributi open source sono una prova di affidabilità? Perché sono pubblici, datati e tracciabili da chiunque, per sempre. SparkFabrik contribuisce all'open source dal 2008 con moduli pubblici verificabili, seguendo l'approccio di costruirlo e non solo usarlo. A differenza di una dichiarazione di marketing, un commit pubblico non si può falsificare né cancellare. ### Cosa significa trattare l'accessibilità come requisito di progetto? Significa progettare secondo gli standard WCAG 2.2 AA ed EN 301 549 fin dall'inizio, anziché applicare correzioni a posteriori. È un metodo, non una toppa: garantisce conformità reale all'European Accessibility Act invece di una conformità di facciata costruita all'ultimo momento. --- ## Articoli Correlati - [Sovranità dei dati: il ruolo chiave dell'open source](https://www.sparkfabrik.com/it/blog/sovranita-dei-dati-il-ruolo-chiave-dell-open-source/) - Affidare le informazioni aziendali a sistemi chiusi espone al rischio di lock-in e perdita di … - [L'illusione dell'IA universale: perché l'accesso alle API di frontiera diventerà esclusivo](https://www.sparkfabrik.com/it/blog/l-illusione-dell-ia-universale-perche-l-accesso-alle-api-di-frontiera-diventera-esclusivo/) - L'intelligenza artificiale non segue le logiche del software tradizionale a costo marginale zero. La … - [Come capire se il tuo prodotto software rientra nel Cyber Resilience Act](https://www.sparkfabrik.com/it/blog/come-capire-se-il-tuo-prodotto-software-rientra-nel-cyber-resilience-act/) - Il Cyber Resilience Act impone nuovi standard di sicurezza obbligatori per chiunque immetta prodotti … --- *Questa è una versione in Markdown dell'articolo per facilitare la lettura da parte di AI e crawler.* *Visita [https://www.sparkfabrik.com/it/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/](https://www.sparkfabrik.com/it/blog/non-abbiamo-cambiato-i-nostri-processi-li-abbiamo-certificati-iso-e-sbti/) per la versione completa con immagini e formattazione.*