Il Ministero delle Imprese e del Made in Italy ha aperto lo sportello per la formazione dell’elenco dei fornitori abilitati nell’ambito della misura di sostegno alla domanda di servizi di cloud computing e cybersecurity – comunemente nota come “voucher cloud cybersecurity”. La finestra temporale va dal 4 marzo al 23 aprile 2026 e riguarda imprese – iscritte o meno al registro delle imprese – e liberi professionisti che intendono offrire soluzioni di cloud computing e sicurezza informatica a PMI e lavoratori autonomi. Si tratta del primo passaggio operativo di una misura da 150 milioni di euro, finanziata a valere sulle risorse del Fondo Sviluppo e Coesione (FSC) 2014-2020, disciplinata dal decreto ministeriale 18 luglio 2025 (GU n. 286 del 10 dicembre 2025) e dal decreto direttoriale 21 novembre 2025, che prevede contributi a fondo perduto fino al 50% delle spese sostenute, con un tetto massimo di 20.000 euro per beneficiario. Solo i prodotti e servizi censiti da fornitori inclusi nell’elenco ministeriale potranno essere acquistati con il contributo. Per questo motivo, la fase di accreditamento dei provider rappresenta un passaggio obbligato – e chi la salta resta fuori dal mercato agevolato.
Dal 4 marzo al 23 aprile 2026 è aperto lo sportello per l’iscrizione all’elenco MiMIT dei fornitori abilitati al voucher cloud e cybersecurity. La misura vale 150 milioni di euro a valere sul Fondo Sviluppo e Coesione 2014-2020, con contributi a fondo perduto fino al 50% delle spese e un massimo di 20.000 euro per beneficiario; 75 milioni – pari al 50% delle risorse totali – sono riservati alle regioni del Mezzogiorno. Le agevolazioni operano in regime de minimis ai sensi del Regolamento (UE) n. 2023/2831. Sono ammissibili cinque categorie di prodotti e servizi: hardware cybersecurity, software cybersecurity, cloud IaaS/PaaS, cloud SaaS e servizi professionali (nel limite del 30% del piano di spesa). I fornitori privi di qualifica ACN QC1 devono possedere le certificazioni ISO 9001 e ISO/IEC 27001, con l’aggiunta di ISO/IEC 27017 o CSA Star Level 2 per le categorie cloud. Solo dopo la pubblicazione dell’elenco fornitori – attesa entro 60 giorni dal 23 aprile 2026 – verrà aperto lo sportello per le domande delle PMI e dei lavoratori autonomi.
Cosa finanzia la misura e a chi si rivolge
La misura punta a sostenere la transizione digitale delle micro, piccole e medie imprese e dei lavoratori autonomi – professionisti iscritti agli ordini e non – che operano su tutto il territorio nazionale. Il regime agevolativo opera con procedura valutativa a sportello: le risorse si esauriscono progressivamente con l’accoglimento delle domande, senza attendere la scadenza finale. I soggetti beneficiari devono soddisfare, oltre ai requisiti dimensionali (PMI ai sensi della Raccomandazione 2003/361/CE), una serie di condizioni soggettive previste dall’art. 4 del DM 18 luglio 2025: non essere destinatari di sanzioni interdittive ai sensi del D.Lgs. n. 231/2001, non avere amministratori con condanne penali ostative e non trovarsi in condizioni di incapacità a contrarre con la Pubblica Amministrazione.
Il contributo è concesso in regime de minimis ai sensi del Regolamento (UE) n. 2023/2831 della Commissione del 13 dicembre 2023 – che ha sostituito il precedente Reg. UE n. 1407/2013 dal 1° gennaio 2024, innalzando il massimale a 300.000 euro su tre esercizi finanziari – e copre il 50% delle spese ammissibili, per un importo che non può superare 20.000 euro. La spesa minima del piano di investimento deve essere almeno di 4.000 euro. Una quota consistente delle risorse – 75 milioni di euro su 150 complessivi, pari al 50% della dotazione – è destinata ai soggetti residenti nelle regioni del Mezzogiorno: Abruzzo, Basilicata, Calabria, Campania, Molise, Puglia, Sardegna e Sicilia.
Le agevolazioni vengono erogate in massimo 2 quote. La prima si sblocca al raggiungimento del 50% del piano di spesa, la seconda a saldo, oppure in un’unica soluzione al completamento dell’intero investimento. Per ogni domanda di agevolazione viene attribuito un CUP (Codice Unico di Progetto), che dovrà comparire nella documentazione di spesa e in fattura.
Il requisito di accesso per i beneficiari finali non è particolarmente gravoso sul piano infrastrutturale: occorre disporre di un contratto di connettività con velocità minima in download di 30 Mbps al momento della domanda di agevolazione.
Le 5 categorie di prodotti e servizi ammissibili
L’art. 5, comma 1 del decreto direttoriale 21 novembre 2025 individua le tipologie di servizi e prodotti che possono rientrare nel perimetro agevolato. Le categorie sono tassative, ma – dettaglio da non trascurare – i singoli prodotti elencati al loro interno hanno carattere esemplificativo. Questo significa che soluzioni non espressamente citate possono comunque risultare ammissibili, purché riconducibili alla categoria corretta.
La prima categoria (lettera a) comprende le soluzioni hardware di cybersecurity: firewall, firewall di nuova generazione (NGFW), router e switch, dispositivi di prevenzione delle intrusioni (IPS).
La seconda (lettera b) riguarda le soluzioni software di cybersecurity: antivirus e antimalware, software per il monitoraggio delle reti, strumenti di crittografia dei dati, sistemi SIEM (gestione delle informazioni e degli eventi di sicurezza), software di gestione delle vulnerabilità.
La terza categoria (lettera c) abbraccia i servizi cloud infrastrutturali (IaaS) e di piattaforma (PaaS): virtual machine, storage e backup, network e security (compresa la connettività VPN e i servizi DDoS), database.
Alla lettera d) troviamo i servizi Cloud SaaS: software di contabilità, soluzioni per la gestione delle risorse umane (HRM), sistemi di gestione della produttività e del workflow (ERP) – incluse soluzioni integrate con funzionalità di intelligenza artificiale – software per la gestione di contenuti digitali (CMS) ed e-commerce, strumenti CRM, nonché – come tipologie autonome di servizi cloud SaaS – servizi di comunicazione unificata (UCC) e centralino virtuale (PABX).
L’ultima categoria (lettera e) copre i servizi di configurazione, monitoraggio e supporto continuativo, inclusi i servizi professionali. Sono esclusi i servizi di formazione. Queste prestazioni sono ammissibili nel limite massimo del 30% del complessivo piano di spesa e devono risultare accessorie ad altri servizi agevolabili.
Un aspetto che il MiMIT ha voluto chiarire riguarda la modalità di erogazione: i software ERP e CRM possono accedere alle agevolazioni esclusivamente nella categoria d), ossia in modalità Cloud SaaS. Le uniche soluzioni software ammissibili in modalità on premises sono quelle di cybersecurity della categoria b). Quindi, un gestionale ERP installato nel data center del cliente non è agevolabile. Con l’aggiornamento FAQ del 3 marzo 2026, il Ministero ha precisato anche la questione delle piattaforme di e-learning: i servizi di formazione restano esclusi, ma le piattaforme software di e-learning prive di contenuti formativi, se offerte in modalità cloud, possono rientrare tra le soluzioni ammissibili.
Acquisto diretto, abbonamento o formula mista
I servizi e prodotti agevolabili possono essere acquisiti tramite acquisto diretto, sottoscrizione di un abbonamento, oppure con una combinazione delle 2 modalità. In caso di acquisto diretto il piano di spesa deve concludersi entro 12 mesi dalla concessione dell’agevolazione. Se si opta per l’abbonamento, la durata minima è di 24 mesi. Le spese ammissibili, qualora l’abbonamento ecceda tale termine, restano circoscritte ai primi 24 mesi.
Non sono ammissibili le spese per l’acquisizione di prodotti o servizi con prestazioni analoghe a quelli già in uso dal beneficiario. Il contributo copre soluzioni nuove o che rappresentino un miglioramento effettivo rispetto alla dotazione tecnologica esistente.
Chi può iscriversi all’elenco dei fornitori
L’elenco ministeriale è aperto a 2 tipologie di soggetti, secondo quanto disposto dall’art. 4 del decreto direttoriale 21 novembre 2025.
La prima comprende i fornitori che offrono servizi già qualificati almeno al livello QC1 nel catalogo delle infrastrutture digitali e dei servizi cloud dell’Agenzia per la cybersicurezza nazionale (ACN), secondo la determina direttoriale n. 21007 del 10 luglio 2024. Per questi soggetti la procedura è semplificata.
La seconda categoria riguarda i fornitori privi della qualifica ACN, che devono però dimostrare il possesso di certificazioni specifiche, differenziate in base alla categoria di appartenenza del servizio offerto.
Per le soluzioni hardware e software di cybersecurity (categorie a e b) e per i servizi professionali di configurazione, monitoraggio e supporto (categoria e), servono la certificazione ISO 9001 e la certificazione ISO/IEC 27001.
Per i servizi cloud infrastrutturali e di piattaforma (IaaS e PaaS) e per i servizi Cloud SaaS (categorie c e d), la soglia si alza: oltre alla ISO 9001, occorre la certificazione ISO/IEC 27001 insieme alla ISO/IEC 27017 (standard autonomo per i controlli di sicurezza applicabili ai servizi cloud) oppure, in alternativa, la certificazione CSA Star Level 2.
Le certificazioni devono essere valide alla data di presentazione dell’istanza e rilasciate da un ente accreditato presso un organismo nazionale di accreditamento di un Paese membro dell’UE, ovvero da un organismo beneficiario di un accordo di mutuo riconoscimento con quello italiano. Non sono ammesse forme di ammissione provvisoria o transitoria: chi non ha le certificazioni pronte al momento della domanda resta escluso.
Un chiarimento utile dalle FAQ ministeriali: le certificazioni afferiscono al fornitore e non devono necessariamente ricomprendere nel loro ambito il singolo servizio o prodotto agevolabile. Basta la certificazione della sede principale.
Le regole per rivenditori e system integrator
Come spesso accade nella prassi, le situazioni concrete sono più complesse dei modelli normativi. Il MiMIT ha dovuto dedicare diverse risposte nelle FAQ per chiarire la posizione di rivenditori e integratori di sistemi.
Il principio base è questo: il produttore (vendor) censisce i propri servizi e prodotti nell’elenco. Il rivenditore o integratore si iscrive separatamente per i servizi di categoria e) – configurazione, monitoraggio e supporto – senza poter censire come propri i prodotti del vendor. Le soluzioni di terze parti devono essere censite solo dal produttore originario.
Nella fase di offerta al beneficiario, però, il rivenditore potrà proporre i prodotti e servizi censiti dal vendor, purché entrambi risultino iscritti. È necessario che il rivenditore disponga di almeno un proprio prodotto o servizio ammissibile tra quelli per cui possiede la qualifica QC1 o le certificazioni richieste. Un dettaglio che merita attenzione: se nell’offerta – e quindi nella fattura al beneficiario – sono riportati e quotati i servizi di una società terza o del cloud provider, anche questi soggetti devono iscriversi all’elenco.
Possono iscriversi all’elenco anche startup, nuove imprese, società di capitali e di persone, ditte individuali e liberi professionisti. La forma giuridica non rappresenta un vincolo. Non ci sono neppure limitazioni di nazionalità: possono partecipare soggetti UE ed extra-UE, a condizione che le certificazioni rispettino i requisiti di accreditamento già descritti.
Un chiarimento che nella prassi si rivela utile: un fornitore iscritto all’elenco può anche presentare domanda di agevolazione come beneficiario, purché in possesso dei requisiti previsti dall’art. 4 del DM 18 luglio 2025 e a condizione che si avvalga di servizi e prodotti offerti da un altro fornitore iscritto.
Come presentare la domanda di iscrizione
Le domande possono essere trasmesse dalle ore 12:00 del 4 marzo 2026 alle ore 12:00 del 23 aprile 2026. La procedura è esclusivamente telematica, attraverso il portale del MiMIT nell’area dedicata all’intervento agevolativo. Dal 27 febbraio 2026 è attiva anche una fase di preregistrazione sulla piattaforma di Invitalia, che consente ai fornitori di inserire in anticipo i dati anagrafici richiesti.
Il portale prevede 3 profili di proponente: l’impresa italiana iscritta al registro delle imprese, l’impresa italiana non iscritta (o libero professionista), e l’impresa estera. Per le imprese iscritte al registro, i dati anagrafici vengono recuperati da Infocamere tramite registroimprese.it; alcune informazioni potrebbero tuttavia richiedere l’inserimento manuale. Se i dati risultano non aggiornati, occorre contattare la Camera di Commercio.
Ogni fornitore può presentare una sola istanza di iscrizione. È possibile aggiornare le informazioni prima dell’invio definitivo, purché entro il termine del 23 aprile 2026.
La domanda deve contenere una descrizione sintetica dei servizi offerti, l’indicazione della categoria di appartenenza e – per chi non dispone della qualifica QC1 – la dimostrazione del possesso delle certificazioni richieste.
Firma digitale e procedura di invio
La procedura operativa, spiegata nel dettaglio dal manuale utente pubblicato dal MiMIT, prevede questi passaggi. Dopo aver compilato tutte le sezioni, il fornitore scarica il format di domanda in formato PDF cliccando sull’apposito pulsante. Il documento va firmato digitalmente dal soggetto indicato nella sezione “Firmatario” – la firma deve essere in corso di validità. Il file firmato va caricato sulla piattaforma senza modificarne il nome né i contenuti.
A quel punto si procede al caricamento degli allegati obbligatori e, facoltativamente, di quelli opzionali. Solo dopo il caricamento di tutti i documenti obbligatori si attiva il pulsante “Invia domanda”. L’esito dell’invio produce un numero di protocollo e la data di trasmissione.
Se dopo la generazione della domanda servono modifiche, bisogna premere “Modifica dati”, aggiornare le sezioni interessate, rigenerare il PDF, firmarlo di nuovo digitalmente e caricarlo nuovamente. Attenzione: in caso di modifica dei dati, tutti gli allegati devono essere ricaricati, anche quelli già trasmessi in precedenza.
Verifiche e pubblicazione dell’elenco
Le istanze presentate saranno sottoposte a verifiche – anche a campione – da parte di Infratel Italia. L’accertamento riguarda la regolarità e la corrispondenza delle certificazioni dichiarate, ovvero il possesso della qualifica QC1 per i servizi indicati.
Entro 60 giorni dalla chiusura dello sportello (dal 23 aprile 2026), il MiMIT formerà e pubblicherà l’elenco dei fornitori e dei relativi servizi e prodotti erogabili, attribuendo a ciascuno un codice identificativo univoco. Solo dopo la pubblicazione di tale elenco, con successivo provvedimento direttoriale, verranno definiti termini e modalità per la presentazione delle domande di agevolazione da parte delle PMI e dei lavoratori autonomi.
TABELLA 1: REQUISITI E CERTIFICAZIONI PER CATEGORIA
| Categoria | Esempi | Certificazioni richieste (senza QC1) |
|---|---|---|
| a) Hardware cybersecurity | Firewall, NGFW, router/switch, IPS | ISO 9001 + ISO/IEC 27001 |
| b) Software cybersecurity | Antivirus, SIEM, crittografia, vulnerability management | ISO 9001 + ISO/IEC 27001 |
| c) Cloud IaaS/PaaS | Virtual machine, storage, backup, database | ISO 9001 + ISO/IEC 27001 + ISO/IEC 27017 (oppure CSA Star Level 2) |
| d) Cloud SaaS | ERP, CRM, HRM, CMS, e-commerce, UCC, PABX | ISO 9001 + ISO/IEC 27001 + ISO/IEC 27017 (oppure CSA Star Level 2) |
| e) Servizi professionali | Configurazione, monitoraggio, supporto (max 30% del piano di spesa) | ISO 9001 + ISO/IEC 27001 |
1
TABELLA 2: SCADENZE OPERATIVE
| Adempimento | Termine |
|---|---|
| Preregistrazione piattaforma Invitalia | Dal 27 febbraio 2026 |
| Apertura sportello domande fornitori | 4 marzo 2026 (ore 12:00) |
| Chiusura sportello domande fornitori | 23 aprile 2026 (ore 12:00) |
| Pubblicazione elenco fornitori | Entro 60 giorni dal 23 aprile 2026 |
| Apertura sportello beneficiari (PMI/autonomi) | Da definire con provvedimento direttoriale |
