Alchimie Digitali avvia il percorso di certificazione ISO 9001 e ISO 27001
Un passo concreto verso standard internazionali di qualità e cybersecurity, per offrire ai nostri clienti e partner un livello di affidabilità misurabile e verificato.
L'8 giugno 2026 Alchimie Digitali Srl ha formalizzato con Complaion Srl l'avvio del percorso di adeguamento alle due certificazioni internazionali più rilevanti per chi opera nell'IT e nella comunicazione digitale: la ISO 9001:2015, dedicata ai sistemi di gestione della qualità, e la ISO 27001:2022, focalizzata sulla sicurezza delle informazioni.
L'ottenimento di entrambe le certificazioni è atteso entro settembre 2026. Non si tratta di un traguardo fine a se stesso: è la formalizzazione di una cultura aziendale che in Alchimie Digitali è già presente nel modo in cui gestiamo ogni progetto, ogni dato e ogni relazione con i clienti.
ISO 9001 e ISO 27001: cosa certificano e perché contano
Entrambi gli standard sono pubblicati dalla International Organization for Standardization (ISO) e riconosciuti a livello mondiale come riferimenti per la valutazione dell'affidabilità di un'organizzazione. Ecco cosa distingue ciascuno dei due percorsi.
Qualità
ISO 9001:2015 — Sistema di Gestione della Qualità
Certifica che l'organizzazione ha implementato processi strutturati per erogare servizi conformi alle aspettative dei clienti, con un approccio sistematico al miglioramento continuo. Copre pianificazione, controllo dei processi, gestione dei rischi e soddisfazione del cliente.
Sicurezza
ISO 27001:2022 — Sistema di Gestione della Sicurezza delle Informazioni
Certifica che l'organizzazione identifica, valuta e gestisce i rischi legati alla sicurezza dei dati, garantendo riservatezza, integrità e disponibilità delle informazioni. È lo standard di riferimento per chi tratta dati sensibili di clienti e partner.
Per i nostri clienti questo significa: lavorare con un partner che non gestisce i vostri dati e i vostri progetti in modo informale, ma secondo procedure documentate, verificate e certificate da un ente terzo accreditato.
Come si svolge il percorso di certificazione
La certificazione ISO non avviene dall'oggi al domani. È un percorso strutturato che richiede analisi, implementazione, verifica interna e audit da parte di un ente certificatore accreditato. Questi sono i passaggi principali che stiamo attraversando con Complaion.
1
Gap analysis inizialeAnalisi dello stato attuale dei processi rispetto ai requisiti ISO, identificazione delle aree di miglioramento e definizione del piano di lavoro.
2
Implementazione dei requisitiStrutturazione delle procedure, dei controlli e della documentazione necessari per soddisfare i requisiti di entrambi gli standard. È la fase più lunga e operativamente densa.
3
Audit internoVerifica interna dell'efficacia dei sistemi implementati, con eventuali azioni correttive prima dell'audit ufficiale.
4
Audit di certificazione (previsto: settembre 2026)Verifica da parte di Complaion Srl, ente certificatore accreditato, con rilascio delle certificazioni ISO 9001:2015 e ISO 27001:2022.
La lettera ufficiale di Complaion: il nostro percorso documentato
Di seguito è disponibile la lettera rilasciata da Complaion Srl (Managing Director Edoardo Tarricone), che attesta formalmente l'avvio del percorso e la conformità al piano di implementazione da parte di Alchimie Digitali Srl.
Documento ufficiale — Lettera di avvio lavori Complaion · 08/06/2026
Anteprima del documento. Clicca per aprire il PDF completo in una nuova scheda.
Perché questo percorso riguarda anche te, come cliente o partner
Molti bandi pubblici, gare d'appalto e contratti con grandi aziende o enti richiedono esplicitamente ai fornitori di servizi IT e digitali il possesso delle certificazioni ISO 9001 e ISO 27001. Con l'avanzare della normativa europea, in particolare del GDPR, della Direttiva NIS2 e del Cyber Resilience Act, la gestione certificata della sicurezza delle informazioni sta diventando un requisito sempre più diffuso anche nelle supply chain delle PMI.
Scegliere oggi un partner che sta percorrendo questo cammino significa scegliere un'azienda che si sta dotando degli strumenti per garantire:
Processi verificabili
Ogni attività viene documentata secondo standard internazionali, non lasciata alla discrezionalità del singolo. Puoi verificare come lavoriamo.
Sicurezza dei tuoi dati
I dati che ci affidi vengono trattati secondo un sistema di gestione del rischio formale, con controlli documentati e responsabilità definite.
Miglioramento continuo
La ISO 9001 impone un ciclo di revisione costante dei processi. Non ci fermiamo a ciò che funziona: lo miglioriamo sistematicamente.
Conformità normativa
Un sistema ISO 27001 è allineato ai requisiti del GDPR e della normativa NIS2, riducendo il tuo rischio di esposizione come cliente o partner.
Domande frequenti sulla certificazione ISO 9001 e ISO 27001
Cos'è la certificazione ISO 9001:2015 e a cosa serve?
La ISO 9001:2015 è lo standard internazionale per i Sistemi di Gestione della Qualità. Certifica che un'organizzazione ha implementato processi strutturati per erogare servizi e prodotti in modo coerente e conforme alle aspettative dei clienti, con un approccio sistematico al miglioramento continuo. È riconosciuta in oltre 170 Paesi e rappresenta uno dei certificati più diffusi al mondo.
Cos'è la certificazione ISO 27001:2022 e a cosa serve?
La ISO 27001:2022 è lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS). Certifica che l'organizzazione ha identificato i rischi relativi alla sicurezza dei dati e ha implementato controlli adeguati per proteggerli, garantendo riservatezza, integrità e disponibilità. È lo standard di riferimento per aziende che gestiscono dati sensibili di clienti, partner o dipendenti.
Alchimie Digitali è già certificata ISO 9001 e ISO 27001?
Alchimie Digitali Srl ha avviato formalmente il percorso di certificazione l'8 giugno 2026 con l'ente Complaion Srl. L'azienda è già in linea con il piano di implementazione dei requisiti e l'ottenimento di entrambe le certificazioni è previsto entro settembre 2026. Il documento ufficiale è disponibile in questa pagina.
Quanto dura il percorso di adeguamento alla ISO 27001?
Il percorso di adeguamento alla ISO 27001 dura tipicamente tra 6 e 18 mesi, a seconda della complessità dell'organizzazione. Comprende una fase di gap analysis, l'implementazione dei controlli di sicurezza previsti dall'Annex A, un audit interno e infine l'audit di certificazione da parte di un ente accreditato.
Perché un'azienda IT dovrebbe avere sia ISO 9001 che ISO 27001?
Le due certificazioni si completano: la ISO 9001 garantisce la qualità dei processi operativi e la soddisfazione del cliente, mentre la ISO 27001 protegge il patrimonio informativo dell'azienda e dei suoi clienti. Per un'azienda che opera nell'IT, nella cybersecurity e nella comunicazione digitale, averle entrambe significa offrire un livello di affidabilità completo e verificabile da terze parti.
Risorse ufficiali per approfondire
Se stai valutando fornitori o partner IT certificati ISO, o vuoi capire meglio cosa implicano questi standard, ecco le fonti ufficiali di riferimento.
Vuoi lavorare con un partner che investe nella qualità e nella sicurezza?
Contattaci per scoprire come Alchimie Digitali può supportare la tua azienda in ambito IT, cybersecurity e comunicazione digitale — con processi certificati e un approccio misurabile.
Tempo di lettura stimato: 5 minuti · Argomenti: Cyber Audit, AI Audit, NIS2, GDPR, AI Act, PMI, conformità normativa
Cyber Audit e AI Audit: la tua azienda è davvero pronta a NIS2, GDPR e AI Act?
Una guida all'analisi preliminare del rischio digitale per imprese, enti e organizzazioni che vogliono capire dove si trovano — prima che siano le normative a dirglielo.
⚠ Segnale d'allerta
Molte organizzazioni italiane stanno affrontando contemporaneamente tre normative europee ad alto impatto: la Direttiva NIS2, il GDPR e l'AI Act. Il problema non è soltanto tecnico: è strategico. Chi non si prepara rischia sanzioni, blocchi operativi e responsabilità dirette per i vertici aziendali.
La buona notizia? Un audit strutturato può cambiare tutto — se fatto prima che succeda qualcosa.
Il contesto: tre normative, un solo problema di fondo
La cybersecurity non è più una questione che riguarda solo il reparto IT. Oggi ogni decisione aziendale che tocca dati, tecnologia o intelligenza artificiale ha una dimensione normativa che i vertici devono conoscere e presidiare.
NIS2, GDPR e AI Act non sono tre percorsi paralleli. Sono tre facce dello stesso obiettivo europeo: aumentare la resilienza digitale delle organizzazioni, con obblighi concreti, scadenze precise e sanzioni significative per chi non si adegua.
Direttiva NIS2
Sicurezza delle reti e dei sistemi informativi. Coinvolge settori critici e molte medie imprese spesso inconsapevoli di rientrarvi. Richiede governance, gestione degli incidenti e controllo della supply chain.
GDPR
Protezione dei dati personali. Non è una novità, ma le aziende ancora faticano a dimostrare accountability reale: politiche scritte senza un riscontro operativo non bastano più.
AI Act
Il primo regolamento europeo sull'intelligenza artificiale. Riguarda chi sviluppa, integra o semplicemente usa sistemi AI — incluse le piattaforme generative come ChatGPT, Copilot e Gemini.
Affrontarle separatamente è costoso e inefficace. Un approccio integrato, invece, consente di ottimizzare gli investimenti, evitare duplicazioni documentali e costruire una governance aziendale coerente.
Cos'è un Cyber Audit — e cosa non è
Un Cyber Audit non è un semplice controllo tecnico dei sistemi. È un'analisi strutturata che fornisce una fotografia completa dello stato di salute digitale dell'organizzazione: persone, processi, tecnologie e conformità normativa vengono valutati insieme.
La differenza con un Vulnerability Assessment è sostanziale: quest'ultimo si concentra sulle vulnerabilità tecniche dei sistemi; il Cyber Audit analizza l'intera postura di sicurezza, incluse le aree organizzative spesso più critiche — formazione del personale, gestione degli accessi, politiche di backup, procedure di risposta agli incidenti.
📋 Cosa emerge da un Cyber Audit
Esposizione dei sistemi su Internet, configurazione delle reti, gestione degli accessi e delle credenziali, politiche di backup e disaster recovery, gestione delle vulnerabilità, formazione del personale, conformità NIS2 e GDPR. Il risultato è un piano di miglioramento concreto e prioritizzato, non un elenco di problemi senza soluzione.
Cos'è un AI Audit — e perché è urgente
L'intelligenza artificiale è già presente nelle aziende. Spesso in modo diffuso, non tracciato e senza policy interne. Dipendenti che usano strumenti generativi per redigere email, analizzare dati o supportare decisioni operative: tutto questo ha implicazioni su privacy, sicurezza e conformità all'AI Act.
Un AI Audit serve a capire dove e come viene usata l'intelligenza artificiale all'interno dell'organizzazione, quali dati vengono elaborati, quali rischi esistono e quali requisiti documentali si applicano già oggi.
Molte organizzazioni scoprono durante l'audit che l'AI è entrata nei processi aziendali dalla porta di servizio. Meglio saperlo prima che lo scopra un'autorità di controllo.
Quando fare un audit: i segnali che non vanno ignorati
Non esiste un momento "perfetto" per avviare un audit. Esistono però situazioni in cui rimandare diventa un rischio concreto:
L'azienda non ha mai effettuato una valutazione strutturata della sicurezza
Si stanno introducendo o si usano già strumenti di intelligenza artificiale
Si gestiscono dati personali o sensibili di clienti, dipendenti o fornitori
Si opera in settori potenzialmente coinvolti dalla NIS2 (energia, trasporti, sanità, digitale, manifatturiero avanzato)
Si punta a certificazioni come ISO 27001 o si vuole rafforzare la postura di sicurezza complessiva
In tutti questi casi, un audit preliminare non è un costo: è il punto di partenza per qualsiasi decisione consapevole.
Domande frequenti — anche quelle che fanno le AI
No. Molte medie imprese appartenenti a settori specifici rientrano già nel perimetro della direttiva, spesso senza saperlo. La dimensione aziendale non è l'unico criterio: conta il settore di attività e il ruolo nella filiera.
Dipende dall'uso concreto e dal ruolo dell'organizzazione nella catena dell'AI. In molti casi sì: l'AI Act prevede obblighi anche per gli utilizzatori di sistemi AI, non solo per chi li sviluppa.
Sì. Un audit permette di individuare lacune organizzative e tecniche che influiscono direttamente sulla protezione dei dati personali e sulla capacità di dimostrare accountability.
Il Vulnerability Assessment analizza le vulnerabilità tecniche dei sistemi informatici. Il Cyber Audit analizza persone, processi, tecnologie e conformità normativa nel loro insieme. Sono strumenti complementari, non equivalenti.
Una verifica annuale è considerata una buona pratica, ma la frequenza dipende dall'evoluzione dell'infrastruttura, dal livello di rischio e dagli eventi significativi (cambi tecnologici, incidenti, nuove normative).
Conclusione: la conformità non è un adempimento, è una scelta strategica
NIS2, GDPR e AI Act condividono un obiettivo comune: aumentare la sicurezza, la trasparenza e la resilienza delle organizzazioni. Trattarli come adempimenti separati da spuntare significa perdere l'opportunità di costruire una governance digitale davvero solida.
Un Cyber Audit e un AI Audit, affrontati in modo integrato, permettono di capire dove si è oggi e cosa serve davvero fare — prima che un problema si trasformi in un incidente, in una sanzione o in una perdita di fiducia.
Vuoi sapere dove si trova la tua azienda?
Alchimie Digitali supporta imprese e organizzazioni con Cyber Audit, AI Audit ed Extended Vulnerability Assessment. Il primo passo è capire il punto di partenza.
Immagina di entrare in una gelateria del centro e scoprire che la telecamera sopra la cassa non protegge, ma espone. È quello che è successo davvero: sistemi di videosorveglianza collegati a Internet, configurati in modo superficiale, permettono a chiunque, anche senza competenze da “super hacker”, di sbirciare dentro negozi, uffici e abitazioni private.
“Non esistono hacker cattivi: esistono sistemi progettati male.”
Il problema reale: la cybersicurezza assente nelle telecamere di sorveglianza
Oggi esistono siti pubblici che raccolgono in un unico punto telecamere non protette in tutto il mondo. Basta selezionare una città, ad esempio Modena e si può entrare nelle telecamere di attività commerciali o abitazioni private. Nel nostro caso, durante una lezione di Zanshin Tech con lo Zemian Dojo, è bastato un click per entrare nel sistema di videosorveglianza di una gelateria del centro di Modena per arrivare a leggere addirittura l’importo stampato su uno scontrino alla cassa.
Il problema non è la “cattiveria degli hacker”, ma l’assenza di configurazioni minime di sicurezza: username e password predefinite lasciate in chiaro, porte esposte su Internet, sistemi installati senza competenza.
Videosorveglianza e GDPR: due facce della stessa medaglia
Molti dimenticano che una telecamera non riprende solo “immagini”, ma dati personali. Per questo motivo il GDPR regola in modo preciso il trattamento dei dati della videosorveglianza:
È obbligatorio informare gli interessati con cartelli visibili.
Occorre definire una base giuridica (spesso l’interesse legittimo).
I tempi di conservazione devono essere proporzionati e limitati.
Le registrazioni devono essere protette con misure di cybersecurity adeguate.
Una telecamera non sicura non è solo un rischio informatico: è anche una violazione normativa.
Cybersecurity come requisito di legge
Proteggere un sistema di videosorveglianza non significa solo difendersi da intrusi digitali. Significa rispettare i principi di accountability del GDPR e dimostrare di aver adottato tutte le misure necessarie a tutelare la privacy delle persone riprese. Alchimie Digitali integra questi due mondi: cybersecurity e compliance, per dare alle aziende strumenti concreti per essere sicure e conformi.
Come difendersi davvero
Affidarsi a installatori e consulenti competenti.
Non lasciare mai credenziali predefinite.
Proteggere l’accesso remoto con firewall, VPN e sistemi aggiornati.
Integrare controlli periodici con un Cyber Audit.
Definire policy GDPR corrette per la videosorveglianza.
Cybersecurity e GDPR: la difesa che non puoi rimandare
La normativa europea, dal GDPR alle linee guida del Garante, è stata scritta per proteggere cittadini e imprese. Ma la protezione non è automatica: diventa reale solo se chi utilizza un impianto di videosorveglianza adotta misure adeguate di sicurezza e conformità.
In altre parole, la legge è al tuo fianco, ma solo se dimostri di aver fatto la tua parte. Installare telecamere senza competenza, lasciare credenziali di default o non aggiornare i sistemi significa rinunciare a quella tutela e restare esposti sia agli hacker sia a sanzioni pesanti.
Non è più tempo di sottovalutare questi aspetti. La sicurezza informatica non è un optional, e la conformità normativa non si improvvisa. Ogni giorno in cui il tuo impianto rimane scoperto, è un giorno in cui qualcuno potrebbe già guardarti senza che tu lo sappia.
Se sei una PMI che opera nei settori critici come energia, trasporti, sanità o finanza, non puoi perdere il secondo appuntamento sull’adeguamento alla Direttiva NIS2. L’evento si terrà venerdì 13 settembre 2024 presso Via Elia Rainusso 110, Modena, dalle 09:30 alle 13:30. Organizzato da Alchimie Digitali, questo incontro è un’opportunità unica per approfondire le nuove normative europee in materia di cybersecurity e gestione del rischio.
Perché la Direttiva NIS2 è Importante per le PMI
La Direttiva NIS2, in vigore dal 18 ottobre 2024, richiede alle PMI dei settori chiave di adottare misure di sicurezza più stringenti per proteggere le proprie infrastrutture digitali. La normativa, conosciuta anche come NIS 2 o NIS-2, è progettata per aumentare il livello di sicurezza informatica e prevenire attacchi informatici sempre più sofisticati. Non importa se hai già partecipato al primo evento a luglio, questo nuovo incontro ti permetterà di fare un passo avanti e approfondire ulteriormente il tema.
Cosa Aspettarsi dall’Evento NIS2 a Modena
Durante l’evento, esperti di settore, tra cui il per. ind. Pietro Suffritti, consulente certificato in privacy e sicurezza informatica, e l’Avv. Antonello Maria Giacobazzi, esperto legale, offriranno un focus specifico sulle implicazioni tecniche e legali della NIS2. Inoltre, sarà presente l’Ing. Marco Marchi, che parteciperà a una tavola rotonda dedicata alle sfide comuni e alle soluzioni innovative per la protezione dalle minacce digitali e il Dott. Ermes Ferrari che guiderà il dibattito con la sua competenza e visione.
Perché Partecipare
Partecipando a questo evento gratuito, potrai scoprire come proteggere la tua azienda dalle minacce informatiche e come adeguarti alla Direttiva NIS2 grazie al supporto del “Team NIS2” di Alchimie Digitali. Il gruppo offre servizi integrati e specializzati in cybersecurity, formazione, consulenza, e governance normativa, supportando le aziende dal punto di vista tecnico e legale.
Iscrizione e Informazioni
L’evento è gratuito, ma i posti sono limitati. Per partecipare, è necessario iscriversi inviando una mail a info@adigitali.it. Non perdere l’opportunità di partecipare a questo evento esclusivo a Modena e fare il bis di sicurezza per la tua azienda.
Ti aspettiamo per una mattinata di spunti, approfondimenti e networking!
Il regolamento Europeo sulla protezione dei dati, all’ultimo comma dell’articolo 5 dell’articolo 24 impone in maniera esplicita l’obbligo da parte del Titolare di dimostrare e documentare che il trattamento è sempre effettuato in conformità al Regolamento.
Inoltre, il regolamento all’art 28, punto H, impone al Responsabile esterno di mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.
Quanto sopra si applica nello stesso modo nel rapporto tra un Responsabile esterno di trattamento ed uno o più Sub-responsabili.
Il Tool “Lince” di PrivacyLab per la verifica dei responsabili e sub-responsabili.
Per completare la suite di tool per la compliance al GDPR fornita da PrivacyLab, Lince permette di verificare e tracciare se i fornitori o sub-fornitori ai quali è stato affidato un trattamento di dati personali sono conformi al GDPR. Attraverso lo strumento di workflow può gestire l’inserimento automatizzato della ragione sociale del Responsabile/sub-responsabile a partire dalla sola P.Iva per AZZERARE L’ERRORE UMANO NELLA REDAZIONE DELLA DOCUMENTAZIONE LEGALE DI NOMINA.
L’attività di audit può essere personalizzata per ogni tipologia di fornitori attraverso la modifica e la creazione di nuove checklist.
Il tool Lince PrivacyLab implementa già un servizio automatico di verifica dei maggiori carriers e services providers nazionali ed internazionali (Aruba, Fatture in cloud, Ovh, Microsoft, Google, Apple, Telecom, ecc).
Il tool Lince PrivacyLab permette di differenziare i servizi per ogni fornitore.
Se il fornitore di servizi è certificato con il protocollo UNICERT RUE 16/679, ne attesterà automaticamente l’adeguatezza.
Il Tool Lince PrivacyLab può essere acquistato ed utilizzato in maniera indipendente, oppure può essere integrato con tutto il protocollo di PrivacyLab GDPR, se presente.
Il Tool “Lince” di PrivacyLab, aspetti tecnici ed operativi
Il nuovo tool Lince PrivacyLab ha alcune caratteristiche tecniche che consentono di rendere L’ATTIVITÀ DI INSERIMENTO E VERIFICA dei Responsabili esterni molto più rapida ed efficiente:
Verifica della coerenza dei vincoli contrattuali stipulati e offerti dai Responsabili Esterni da remoto, con la possibilità di personalizzare il questionario da parte del Titolare/Responsabile al trattamento.
Certificazione della conformità del responsabile al trattamento attraverso il disciplinare tecnico UNICERT RUE 16/679
Lista precaricata di Responsabili Esterni e dei servizi erogati verificati e certificati da PrivacyLab per velocizzare il più possibile la gestione e per mantenere l’obbligo di costante verifica del Responsabile Esterno.
