1° Documento Riservato: Voucher Cloud e Cybersecurity: 150 milioni per PMI e professionisti

CIRCOLARE MONOGRAFICA

Requisiti, modalità e criticità per accedere al mercato incentivato

DI GERARDO URTI | 5 MAGGIO 2026

Con la pubblicazione dei provvedimenti attuativi del Ministero delle Imprese e del Made in Italy, prende forma operativa il nuovo incentivo “Voucher cloud & cybersecurity”, con una dotazione complessiva di 150 milioni di euro destinati a PMI e lavoratori autonomi. Tuttavia, l’accesso a tale mercato passa necessariamente da un passaggio preliminare: l’iscrizione all’elenco ufficiale dei fornitori abilitati. Il presente contributo analizza in modo sistematico requisiti, modalità operative, categorie di servizi ammissibili e criticità applicative, offrendo una guida completa per imprese ICT, system integrator e professionisti che intendono accreditarsi presso il MiMIT e partecipare attivamente alla misura.

Premessa

La misura si fonda sul Decreto ministeriale 18 luglio 2025, che disciplina gli interventi di sostegno alla domanda di servizi cloud e cybersecurity (art. 2), prevedendo contributi destinati a PMI e lavoratori autonomi per l’acquisizione di soluzioni digitali innovative.

La dotazione finanziaria è stabilita in 150 milioni di euro, a valere sul Fondo sviluppo e coesione (art. 3, comma 1).

Ai fini dell’attuazione operativa della misura, il Ministero ha adottato un successivo Provvedimento direttoriale che disciplina:

• la costituzione dell’elenco fornitori;
• le modalità di iscrizione e gestione dello stesso (art. 2 del Decreto direttoriale).

Pertanto, la misura, introdotta dal Decreto ministeriale del 18 luglio 2025, prevede l’erogazione di contributi a fondo perduto fino al 50% delle spese ammissibili, per un importo massimo di 20.000 euro per beneficiario, destinati all’acquisto di servizi e soluzioni digitali avanzate.

Tuttavia, un elemento centrale, e spesso sottovalutato, è che solo i fornitori iscritti all’elenco MiMIT potranno erogare servizi agevolabili. Ne deriva che l’iscrizione non è un’opzione, ma una condizione abilitante per operare all’interno dell’ecosistema dell’incentivo.

Il quadro normativo e le finalità della misura

Il sistema dei voucher si inserisce nell’ambito delle politiche di sostegno alla domanda digitale, finanziate tramite il Fondo sviluppo e coesione, con una dotazione pari a 150 milioni di euro.

L’obiettivo è duplice:

• rafforzare il livello di digitalizzazione delle PMI e dei professionisti;
• promuovere l’adozione di soluzioni cloud e strumenti di cybersecurity avanzati.

Le agevolazioni sono concesse esclusivamente per servizi nuovi o migliorativi rispetto a quelli già in uso, con l’obiettivo di generare un reale salto tecnologico nei beneficiari.

La registrazione all’elenco abilita i fornitori all’erogazione dei servizi e/o prodotti dichiarati in sede di presentazione dell’istanza, nonché conferisce a tali servizi e/o prodotti la qualifica necessaria ai fini dell’ammissibilità alle agevolazioni.

Importanti chiarimenti sui requisiti per l’ammissione nell’elenco sono stati forniti dal Ministero delle Imprese nell’ambito delle FAQ pubblicate sul proprio sito internet (www.mimit.gov.it).

La funzione dell’elenco fornitori: condizione di accesso al mercato agevolato

Il bando mette a disposizione 150 milioni di euro e prevede l’assegnazione di contributi a fondo perduto (di importo non superiore a 20.000 euro) pari al 50% delle spese ammissibili, sostenute per l’acquisto, da fornitori iscritti nell’elenco ministeriale, di software, hardware e servizi specialistici di sicurezza informatica e cloud computing.

Il sistema delineato dal MiMIT introduce un principio chiaro: solo i servizi erogati da fornitori iscritti all’elenco ministeriale sono ammissibili alle agevolazioni.

L’iscrizione non ha quindi natura meramente formale, ma assume una funzione sostanziale:

• abilita l’erogazione dei servizi incentivati;
• attribuisce ai servizi la qualifica di ammissibilità;
• determina l’accesso a un mercato finanziato con risorse pubbliche.

In altri termini, l’elenco costituisce uno strumento di qualificazione preventiva dell’offerta.

Termini e modalità di presentazione delle domande di agevolazione da parte delle PMI e dei lavoratori autonomi saranno definiti con successivo provvedimento direttoriale, in esito alla formazione dell’elenco dei soggetti abilitati alla fornitura dei prodotti e servizi agevolabili.

Chi può iscriversi all’elenco fornitori MiMIT

Ai sensi dell’art. 4 del Decreto ministeriale 18 luglio 2025, possono beneficiare delle agevolazioni:

• PMI, come definite dalla normativa europea;
• lavoratori autonomi, anche non iscritti al Registro delle imprese.

L’accesso all’elenco è aperto a una platea ampia di soggetti:

• imprese (anche non iscritte al Registro delle imprese);
• start-up e nuove realtà imprenditoriali;
• liberi professionisti e lavoratori autonomi.

All’elenco dei soggetti abilitati alla fornitura dei servizi e prodotti agevolabili possono iscriversi:

1. i fornitori che presentano servizi ammissibili con qualifica almeno di livello 1 (QC1), nel catalogo delle infrastrutture digitali e dei servizi cloud di cui al Regolamento n. 21007/2024, per l’offerta dei predetti servizi;
2. i fornitori che non presentano soluzioni ammissibili qualificate dall’Agenzia per la cybersicurezza nazionale (ACN) nel catalogo delle infrastrutture digitali e dei servizi cloud di cui al Regolamento n. 21007/2024, previa dimostrazione del possesso delle seguenti certificazioni afferenti alla categoria di appartenenza del servizio e/o prodotto agevolabile erogato:

• • soluzioni hardware cybersecurity (es. firewall, NGFW, router/switch, IDS/IPS), soluzioni software cybersecurity (es. antivirus, SIEM, crittografia, gestione vulnerabilità) e servizi professionali di configurazione, monitoraggio e supporto continuativo: certificazione ISO 9001 e certificazione ISO/IEC 27001;
  • servizi cloud infrastrutturali e di piattaforma (IaaS e PaaS) e servizi Cloud SaaS (es. ERP, HRM, CRM, CMS, UCC): certificazione ISO 9001 e certificazione ISO/IEC 27001 con estensione ISO/IEC 27017 ovvero, quale alternativa, la certificazione CSA Star Level 2.

Un elemento particolarmente rilevante è che non è richiesto un requisito dimensionale minimo, ma esclusivamente il rispetto di criteri tecnici e certificativi.

Inoltre, possono accedere anche soggetti: con sede in altri Paesi UE o extra-UE purché in possesso di certificazioni riconosciute a livello europeo.

Restano ferme le condizioni generali di ammissibilità, tra cui:

• assenza di procedure concorsuali (art. 4, comma 2, lett. b);
• regolarità rispetto agli aiuti di Stato (art. 4, comma 2, lett. d);
• assenza di cause di esclusione (art. 4, comma 4).

I requisiti tecnici: qualificazione o certificazioni

Uno dei profili più rilevanti riguarda i requisiti tecnici dei fornitori.

L’art. 5, comma 2, del Decreto ministeriale 18 luglio 2025 stabilisce che i servizi devono essere:

• qualificati come servizi cloud di livello QC1;
• erogati da soggetti abilitati dall’Agenzia per la cybersicurezza nazionale (ACN).

Il sistema di ammissione all’elenco si basa su due modalità alternative:

1. Servizi qualificati (QC1)
   Possono iscriversi direttamente i fornitori che offrono servizi già qualificati almeno di livello QC1 nel catalogo nazionale delle infrastrutture digitali.
2. Certificazioni equivalenti
   In assenza di qualifica QC1, è necessario dimostrare il possesso di specifiche certificazioni:

• • ISO 9001 (qualità);
  • ISO/IEC 27001 (sicurezza delle informazioni);

Per i servizi cloud (IaaS, PaaS, SaaS), è richiesta anche: ISO/IEC 27017 oppure CSA STAR Level 2.

Le certificazioni devono: essere valide alla data dell’istanza di iscrizione all’elenco ed essere emesse da ente certificatore accreditato da un organismo nazionale di accreditamento di un Paese membro dell’Unione Europea ovvero beneficiario di un accordo di mutuo riconoscimento con l’organismo nazionale di accreditamento italiano.

Quali servizi possono essere offerti

Sono ammissibili alle agevolazioni i servizi e prodotti di cloud computing e cybersecurity compresi in una delle seguenti categorie:

1. soluzioni hardware cybersecurity, quali: firewall; firewall di nuova generazione (NGFW); router/switch; dispositivi di prevenzione delle intrusioni (IPS);
2. soluzioni software cybersecurity, quali: antivirus e antimalware; software di monitoraggio delle reti; soluzioni di crittografia dei dati; sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM); software di gestione delle vulnerabilità;
3. servizi cloud infrastrutturali (IaaS) e di piattaforma (PaaS), quali: virtual machine; servizi di storage & backup; network & security (inclusi connettività VPN e servizi DDoS), database;
4. servizi Cloud SaaS, quali: software di contabilità; soluzioni per la gestione delle risorse umane (HRM); sistemi di gestione produttività/Workflow (ERP), incluse soluzioni di produttività aziendale integrate con funzionalità di intelligenza artificiale; software per la gestione di contenuti digitali (CMS) ed e-commerce; strumenti per gestire le interazioni con i clienti (CRM) che includono, tra gli altri, i servizi di collaborazione e centralino virtuale (UCC e PABX);
5. servizi di configurazione, monitoraggio e supporto continuativo dei servizi, inclusi i servizi professionali, fatta eccezione per i servizi di formazione.

I servizi/prodotti agevolabili possono essere erogati tramite: acquisto diretto di uno o più servizi/prodotti o sottoscrizione di un abbonamentooppure adottando una combinazione delle modalità sopra indicate.

È espressamente esclusa la formazione, anche se erogata tramite piattaforme digitali

Come chiarito dal Ministero delle Imprese e del Made in Italy nell’ambito delle FAQ pubblicate sul proprio portale, nell’area dedicata all’intervento agevolativo:

• le categorie di appartenenza del servizio e/o prodotto agevolabile devono essere tassativamente quelle individuate, mentre i servizi indicati in tali categorie rappresentano un elenco esemplificativo e non esaustivo dei servizi ammissibili;
• le soluzioni di cui alla lettera d) “servizi Cloud SaaS” possono essere sia soluzioni già pronte all’uso, sia soluzioni configurabili o personalizzabili, sia sviluppi applicativi realizzati per il cliente, purché erogati in modalità SaaS;
• le tipologie di software ERP e CRM sono ammesse solo nella categoria d) “servizi Cloud SaaS”;
• le spese ammissibili riguardano soluzioni tecnologiche e/o servizi operativi. Sono esclusi i servizi di formazione o di miglioramento delle competenze, anche se erogati tramite piattaforme software di e-learning.

Il ruolo di vendor, system integrator e rivenditori

Il MiMIT ha chiarito un punto operativo cruciale:

• il vendor (produttore) censisce i propri prodotti;
• il system integrator o rivenditore si iscrive per i servizi professionali;
• i prodotti di terzi non possono essere dichiarati dal rivenditore.

Questo implica una separazione netta tra:

• chi sviluppa la tecnologia;
• chi la integra e la implementa presso il cliente.

Modalità di presentazione della domanda

L’art. 4, comma 5, del Decreto direttoriale 21 novembre 2025 stabilisce che:

• le domande devono essere presentate tramite il portale del Ministero;
• entro i termini fissati dall’Amministrazione.

Successivamente, con Decreto del 22 aprile 2026, il termine è stato prorogato: alle ore 12:00 del 27 maggio 2026.

La domanda di iscrizione all’elenco deve contenere, tra le informazioni indicate negli schemi disponibili dal Ministero delle Imprese e del Made in Italy nell’area del portale:

• una descrizione sintetica dei servizi e/o prodotti erogati dal fornitore;
• l’indicazione della categoria di appartenenza dei predetti servizi e/o prodotti tra quelle ammissibili;
• qualora il fornitore non presenti nell’ambito dell’intervento servizi ammissibili con qualifica almeno di livello 1 (QC1): la dimostrazione del possesso delle certificazioni.

La procedura è interamente telematica e si svolge secondo le regole del Codice dell’amministrazione digitale (D.Lgs. n. 82/2005).

Il processo prevede:

1. registrazione al portale;
2. compilazione della domanda;
3. caricamento della documentazione;
4. invio telematico dell’istanza.

Sono previste n. 3 tipologie di proponente:

1. impresa italiana iscritta al Registro delle imprese: Come chiarito nel Manuale utente – Portale fornitori. Guida alla presentazione della domanda (pubblicato sul sito del Ministero delle Imprese e del Made in Italy):
   • è necessario censire l’impresa nel servizio di “Anagrafica e deleghe” e verificare la correttezza dei dati prelevati dal Registro delle imprese, da confermare in fase di compilazione della domanda;
   • i dati relativi all’anagrafica sono recuperati da Infocamere su registroimprese.it. Tuttavia, alcune informazioni potrebbero richiedere l’inserimento manuale;
   • nel caso in cui le informazioni presenti nel Registro delle imprese non fossero aggiornate ovvero non modificabili, occorre contattare la Camera di Commercio;
   • se si è già richiesto una modifica tramite Infocamere, occorre verificare il dettaglio dell’impresa nella sezione Anagrafica e Deleghe;
2. impresa italiana non iscritta al Registro delle imprese o libero professionista;
3. impresa costituita estera.

Un passaggio strategico: censire correttamente i servizi

Un principio fondamentale, desumibile dalla disciplina attuativa, è il seguente: tutti i servizi devono essere censiti al momento dell’iscrizione.

Questo comporta che:

• non è possibile integrare successivamente l’offerta;
• i servizi devono essere coerenti con le categorie dell’art. 5;
• l’elenco ha natura chiusa e certificativa.

Questo comporta che:

• eventuali servizi non dichiarati non saranno ammissibili;
• la strategia commerciale deve essere definita ex ante.

Si tratta, quindi, di una fase non meramente amministrativa, ma strategica e di posizionamento sul mercato.

Criticità operative e punti di attenzione

Dall’analisi della normativa emergono alcune criticità rilevanti:

1. Complessità certificativa
   Molte PMI ICT potrebbero non essere già in possesso delle certificazioni richieste.
2. Tempistiche ristrette
   Nonostante la proroga, i tempi per organizzare documentazione e certificazioni restano limitati.
3. Coordinamento tra attori
   Vendor, rivenditori e system integrator devono coordinarsi per evitare incoerenze nella presentazione dei servizi.
4. Assenza di ammissione provvisoria
   Non sono previste forme di iscrizione condizionata: o si è in possesso dei requisiti, o si è esclusi.

Check-list normativa-operativa

Prima della presentazione della domanda è opportuno verificare:

Check-list
1	Possesso delle certificazioni richieste (ISO 9001, ISO 27001, eventuale ISO 27017 / CSA STAR) ossia conformità ai requisiti dell’art. 4, D.M. 18 luglio 2025
2	Validità delle certificazioni alla data di presentazione
3	Corretta individuazione delle categorie di servizi ammissibili quindi coerenza dei servizi con l’art. 5, D.M. 18 luglio 2025
4	Coerenza tra ruolo del soggetto (vendor/integratore) e servizi dichiarati
5	Completezza del censimento dei servizi
6	Predisposizione della documentazione richiesta
7	Registrazione e accesso al portale MiMIT
8	Rispetto delle modalità di presentazione ex art. 4, comma 5, D.D. 21 novembre 2025
9	Corretta tempistica (scadenza 27 maggio 2026)

Riferimenti normativi:

• Ministero delle Imprese e del Made in Italy, D.M. 18 luglio 2025; 
• Ministero delle Imprese e del Made in Italy, D.Dirett. 22 aprile 2026; 
• Ministero delle Imprese e del Made in Italy, D.Dirett. 21 novembre 2025. 

Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.

Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.

Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise.