No todos los certificados de ISO 42001 son iguales. De hecho, dos certificados que parecen idénticos colgados en la pared pueden tener un significado completamente distinto ante un regulador, un equipo de compras corporativas o un inversor haciendo due diligence.
La diferencia está en una palabra que la mayoría de compradores no pregunta: acreditado.
## La creencia habitual
La mayoría de empresas de IA parte de una asunción simple. Si un organismo de certificación emite un certificado de ISO 42001, el certificado es válido. Se paga la tarifa, se supera la auditoría, se cuelga el sello en la web. Listo.
Esa creencia es incompleta. Confunde dos cosas muy distintas: el acto de certificar, y la autoridad que respalda al certificador.
## Dónde está el problema real
ISO 42001 es una norma. Las normas son documentos públicos. Cualquiera puede leerlas y, en principio, cualquiera puede escribir una metodología para evaluar el cumplimiento contra ellas. Por eso el mercado ya se está llenando de empresas que ofrecen “certificación ISO 42001” sin supervisión sobre cómo auditan, qué evidencias requieren, o si sus auditores tienen la competencia que la norma exige.
Un certificado no acreditado no es deshonesto por sí mismo. Simplemente no está respaldado. No hay un organismo independiente que verifique que el certificador siguió las normas ISO/IEC 17021 e ISO/IEC 42006, que son los estándares internacionales que regulan cómo operan los organismos de certificación cuando certifican sistemas de gestión de IA.
> Un certificado ISO 42001 sin acreditación es un documento firmado por una empresa privada. Un certificado acreditado es un documento respaldado por una autoridad nacional.
>
## Replanteando la pregunta
La pregunta que hay que hacer no es “¿Quién nos va a certificar?”. La pregunta es “¿Qué certificado van a aceptar realmente nuestros reguladores, clientes e inversores?”.
Esto importa por tres razones concretas:
### 1. Reconocimiento regulatorio
Bajo el EU AI Act, los organismos de evaluación de la conformidad deben ser notificados por un Estado miembro, y esa notificación depende de una acreditación otorgada por un organismo nacional de acreditación como ENAC (España), UKAS (Reino Unido) o DAkkS (Alemania). En Estados Unidos, ANAB es el organismo principal. Los certificadores no acreditados no tienen reconocimiento en estos regímenes.
### 2. Procurement y compradores corporativos
Los equipos de compras corporativos, especialmente en sectores regulados como servicios financieros, seguros y sanidad, cada vez más exigen certificados acreditados en sus cuestionarios de proveedores. Un certificado no acreditado suele abrir due diligence adicional en lugar de cerrarlo.
### 3. Due diligence de inversores y M&A
Los inversores que hacen due diligence técnica sobre empresas de IA han empezado a preguntar si el certificador está acreditado, y bajo qué esquema. Un certificado que no se puede rastrear hasta un organismo de acreditación reconocido tiene peso limitado en un informe de diligencia.
## El cambio estructural
La industria de certificación está recorriendo un camino que la seguridad de la información ya transitó hace una década con ISO 27001 y SOC 2. En los primeros años de cualquier mercado de certificación aparecen proveedores no acreditados, los precios se comprimen, y los compradores no distinguen calidad. Después los reguladores y los grandes compradores se alinean en torno a la acreditación, y los certificados no acreditados pierden silenciosamente su valor comercial.
La certificación de IA está comprimiendo ese calendario. El EU AI Act está forzando que la acreditación importe desde el primer día, no tras diez años de confusión de mercado.
## Qué significa esto para tu organización
Antes de firmar un contrato de certificación, tres comprobaciones merecen el tiempo:
Comprueba la acreditación. Pide al certificador su certificado de acreditación y el alcance específico. Estar acreditado a ISO 27001 no cubre ISO 42001. Los alcances son granulares y públicos en los registros de los organismos de acreditación.
Comprueba el esquema. ISO/IEC 42006 es la norma de esquema que establece los requisitos de competencia para los organismos de certificación de ISO 42001. Un certificador que no sabe nombrar el esquema bajo el que opera es una señal de alarma.
Comprueba adónde va a viajar el certificado. Si tus clientes, inversores o reguladores están en la UE, un certificado de un organismo sin acreditación ENAC, UKAS, DAkkS o equivalente probablemente tendrá que rehacerse. El certificado barato se convierte en el caro.
> La acreditación no es un reclamo de marketing. Es la cadena de autoridad que hace que un certificado signifique algo fuera de la sala donde se firmó.
>
—
¿Listo para pasar de la documentación a la certificación?
Habla con un auditor acreditado por ANAB sobre tu sistema de gestión de IA.
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
Zertia es un organismo de evaluación de la conformidad acreditado por ANAB (EE. UU.) para ISO/IEC 42001. Acreditaciones UKAS (Reino Unido) y ENAC (UE) en proceso.
