Perché il controllo accessi fisici è centrale nella ISO 27001

Quando si parla di ISO 27001, il pensiero corre subito ai firewall, alle policy di password e alla crittografia. Ma l’Allegato A mette subito in chiaro che la sicurezza delle informazioni comincia dai varchi fisici. Un auditor di certificazione non si limita a controllare i log dei server: passa dai tornelli, ispeziona le aree riservate e chiede di vedere come vengono gestiti fornitori, manutentori e ospiti occasionali.

Il motivo è semplice: un asset informativo non è mai puramente digitale. Basta un badge dimenticato su una scrivania o un visitatore lasciato senza scorta in un corridoio server perché il miglior sistema di Information Security Management venga compromesso. Per questo la norma pretende che il controllo accessi fisici sia documentato, verificabile e inserito in un ciclo di miglioramento continuo. In Italia, poi, si intreccia con il D.Lgs. 81/2008, il D.M. 2 settembre 2021 e il DPR 151/2011, creando un quadro in cui la conformità ISO 27001 non è opzionale, ma è di fatto parte integrante dell’adempimento alla legislazione sulla sicurezza sul lavoro.

I requisiti puntuali: controlli A.7 (Physical) sotto la lente dell’auditor

Nell’attuale struttura della ISO 27001:2022, i controlli legati alla sicurezza fisica sono riorganizzati. Le “misure fisiche” sono raggruppate sotto il controllo A.7 (Physical controls), mentre le regole organizzative sull’accesso logico e sulla gestione degli utenti confluiscono nel controllo A.5 e A.8. Ma chi deve affrontare un audit entro i prossimi anni sa bene che molti documenti e procedure fanno ancora riferimento ai numeri della versione 2013, dove il cuore del controllo accessi fisici era nel dominio A.11 (Physical and Environmental Security) della ISO 27001:2013, è oggi confluito — nella ISO 27001:2022 — nei controlli A.7.2 (Physical entry) e A.7.3 (Securing offices, rooms and facilities), che mantengono l’obiettivo originario semplificandone la trattazione.

Un auditor, indipendentemente dalla numerazione, verifica sempre tre aspetti fondamentali:

  • Perimeter security – barriere fisiche, recinzioni, sistemi antintrusione.
  • Controllo all’ingresso – identificazione di dipendenti, visitatori, corrieri.
  • Tracciabilità – registri di accesso e uscita, storici dei varchi, tempistiche.

In sede di audit, il valutatore osserva se il sistema di controllo accessi è adeguato alla classificazione delle informazioni trattate: un ufficio amministrativo può accettare un semplice badge, ma un CED o un archivio con dati personali richiedono autenticazione a due fattori o biometrica e, soprattutto, un registro visitatori inalterabile. Non è sufficiente un foglio Excel condiviso in rete: l’auditor cerca evidenze di una procedura formalizzata, approvata dalla direzione e sottoposta a revisione periodica.

Dalla teoria alla pratica: ciò che i valutatori vogliono vedere

L’auditor di certificazione ISO 27001 non accetta dichiarazioni verbali: vuole documenti, registrazioni e dimostrazioni sul campo. Ecco la lista essenziale di ciò che viene richiesto durante una verifica ispettiva focalizzata sul controllo accessi fisici:

  • Policy di controllo accessi fisici – un documento firmato dalla direzione, che definisce chi è autorizzato ad accedere alle diverse zone, con quali modalità e in quali fasce orarie.
  • Procedura di registrazione visitatori – deve includere obbligo di identificazione, modulo di accettazione delle regole di sicurezza (anche ai sensi del GDPR), consegna di badge temporaneo e scorta autorizzata.
  • Registro degli accessi – sequenziale, inalterabile, con indicazione di data, ora, generalità del visitatore, persona incontrata, zona visitata e orario di uscita. L’auditor verifica la completezza e l’assenza di spazi vuoti o correzioni sospette.
  • Evidenze di controllo periodico – test dei varchi, review dei permessi di accesso, simulazioni di intrusione, verbali di audit interni.
  • Gestione delle situazioni di emergenza – procedure di esodo, piani antincendio integrati con la sicurezza fisica, come richiesto dal D.M. 2 settembre 2021 e dal D.Lgs. 81/2008.

Particolare attenzione viene posta sugli accessi fuori orario e sui visitatori occasionali. Un auditor può chiedere di verificare la corrispondenza tra i log dell’impianto antintrusione e il registro visitatori, incrociando i dati per scovare accessi non registrati. Se l’azienda è soggetta a Seveso (D.Lgs. 105/2015) o ha un Certificato di Prevenzione Incendi con attività a rischio elevato (DPR 151/2011), l’auditor si aspetta anche una chiara integrazione tra i piani di emergenza e la procedura di controllo accessi, perché in caso di evacuazione bisogna sapere esattamente chi è presente in stabilimento e dove.

L’intreccio con le norme italiane: D.Lgs. 81/2008, D.M. 2/9/2021 e DPR 151/2011

La ISO 27001 si inserisce in un ecosistema normativo italiano già denso di obblighi. L’articolo 18 del D.Lgs. 81/2008 impone al datore di lavoro di «controllare l’accesso alle zone a rischio specifico», mentre l’articolo 26 obbliga a fornire informazioni dettagliate ai lavoratori esterni e a coordinare le misure di sicurezza. Tradotto in pratica: ogni impresa deve sapere chi entra, quando e perché. Il registro visitatori non è quindi solo uno strumento di cybersecurity, ma un adempimento di sicurezza sul lavoro.

Il D.M. 2 settembre 2021, il nuovo testo sulla prevenzione incendi, ha rafforzato l’obbligo di piani di emergenza aggiornati, con procedure di chiamata e conteggio degli occupanti. Senza un controllo accessi preciso, è impossibile redigere un registro delle presenze utile durante un’evacuazione. L’auditor ISO 27001 che opera in Italia conosce queste intersezioni e valuta positivamente un Sistema di Gestione Integrato che abbraccia sicurezza delle informazioni e sicurezza dei lavoratori (ISO 45001), utilizzando un unico flusso dati certificato.

Anche il GDPR entra in gioco: raccogliere generalità, dati biometrici o targhe auto dei visitatori significa trattare dati personali. L’auditor verifica che gli informatori siano stati resi idonei e che esista una base giuridica e un registro dei trattamenti aggiornato, con misure di sicurezza adeguate (art. 32). Un sistema manuale basato su carta e penna difficilmente supera queste verifiche, perché non garantisce confidenzialità né integrità.

Semplificare l’audit con un sistema digitale: il contributo di Varcora

Affrontare un audit ISO 27001 con fermacarte e moduli cartacei è un azzardo che nessun RSPP o Security Manager dovrebbe correre. La digitalizzazione del controllo accessi fisici, con un gestionale visitatori come Varcora, trasforma una potenziale non conformità in un punto di forza. Il sistema genera registri digitali immutabili, con time-stamp e associazione automatica tra visitatore, referente e zona visitata. Ogni accesso viene tracciato, eventuali anomalie vengono segnalate e i report possono essere prodotti in tempo reale durante l’audit, con filtri per data, reparto o tipologia di visitatore.

Varcora permette di integrare le policy aziendali nel flusso di pre-registrazione: il visitatore riceve le regole di comportamento e la privacy policy prima ancora di varcare il cancello, e all’arrivo scatta automaticamente la notifica al padrone di casa. In caso di emergenza, un quadro sinottico sempre aggiornato dice esattamente chi è presente in stabilimento, semplificando l’adempimento al D.M. 2 settembre 2021. Così, alla domanda «Come tracciate gli accessi fisici?», l’RSPP risponde con un click, anziché con un raccoglitore polveroso.

Quello che l’auditor cerca, al di là dei documenti, è la tracciabilità puntuale di ogni accesso, la capacità di dimostrare chi era dove e in quale momento. I registri cartacei e i badge non integrati creano lacune che, durante un audit, diventano osservazioni critiche.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →