Un piano da 150 milioni di euro per alzare le difese informatiche del tessuto produttivo italiano. Il Voucher Cloud e Cybersecurity è la nuova misura agevolativa del MIMIT destinata a micro, piccole e medie imprese e ai professionisti, finanziata tramite il Fondo Sviluppo e Coesione, frutto anche di una consultazione pubblica che aveva evidenziato un forte interesse verso forme di incentivazione a supporto degli investimenti in cyber security.

L’incentivo, previsto dal decreto ministeriale del 18 luglio 2025, a cui dà attuazione il decreto direttoriale del 21 novembre 2025, mira a sostenere la domanda di servizi di cloud computing e cybersecurity e a promuovere lo sviluppo e l’adozione di servizi applicativi digitali innovativi.

Il contributo è a fondo perduto e abbatte del 50% i costi di investimento, fino a un massimo di 20.000 euro per beneficiario.

Una delle caratteristiche più innovative di questo strumento risiede nel filtro qualitativo sull’offerta tecnologica: i beni agevolati potranno infatti essere acquistati solo dai technology provider che saranno ammessi a un elenco.

Ma vediamo tutto con ordine, partendo dai vantaggi per i beneficiari per poi passare ai requisiti richiesti ai fornitori.

I benefici per Pmi e professionisti

Per i beneficiari finali del Voucher Cloud e cybersecurity, ovvero micro, piccole e medie imprese e lavoratori autonomi, l’agevolazione consiste in un contributo a fondo perduto pari al 50% delle spese ammissibili, con un tetto massimo di contributo fissato a 20.000 euro.

La soglia minima di investimento  prevista dal decreto ministeriale del 18 luglio 2025 è di 4.000 euro, escludendo di fatto gli interventi di portata troppo ridotta.

Per poter accedere alle agevolazioni, i soggetti beneficiari devono:

• Disporre di un contratto per la fornitura di servizi di connettività con velocità minima in download di 30 Mbps.
• Acquisire servizi cloud computing e cyber security compresi in un elenco specifico (che include soluzioni hardware e software cyber security, servizi cloud IaaS, PaaS e SaaS, e servizi professionali connessi).

Una quota rilevante delle risorse, pari a circa 71 milioni di euro, è vincolata ai territori del Mezzogiorno (Abruzzo, Basilicata, Calabria, Campania, Molise, Puglia, Sardegna e Sicilia), rispettando la chiave di riparto dell’80% per il Sud prevista dal Fondo Sviluppo e Coesione.

È fondamentale notare che sono ammissibili solo “soluzioni tecnologiche nuove e aggiuntive” o che costituiscano un “miglioramento” rispetto a quelle in uso. L’obiettivo è finanziare l’upgrade tecnologico, non la spesa corrente operativa (OPEX) ordinaria.

Tipologie di spese ammissibili

Il perimetro degli acquisti agevolabili è vasto ma circoscritto a specifiche categorie merceologiche:

• Hardware: Firewall, firewall di nuova generazione (NGFW), router, switch e dispositivi di prevenzione intrusioni (IPS).
• Cybersecurity: Antivirus evoluti, sistemi SIEM, soluzioni di crittografia e vulnerability management.
• Cloud Computing: Virtual machine, storage, backup e disaster recovery.
• Software SaaS: Gestionali ERP, sistemi HR, CRM e piattaforme di e-commerce.

Sono ammesse anche le spese per servizi professionali di configurazione e supporto, ma non possono superare il 30% del valore complessivo del piano di spesa.

I contratti di abbonamento devono avere una durata minima di 24 mesi per essere eleggibili, scoraggiando l’adozione di soluzioni temporanee o di respiro corto.

Le regole per i fornitori

Il Ministero delle Imprese e del Made in Italy ha definito l’architettura operativa per questa nuova tornata di incentivi dedicati alla digitalizzazione sicura. Con la firma del decreto direttoriale del 21 novembre 2025 da parte del direttore generale Giuseppe Bronzino, si attiva ufficialmente il processo di selezione per i technology provider, passaggio propedeutico indispensabile per sbloccare le risorse.

La misura si distingue dalle precedenti per un meccanismo a doppio stadio: prima la qualificazione dell’offerta tecnologica attraverso un apposito elenco di fornitori, poi l’apertura dello sportello per le domande di contributo da parte delle imprese utenti. Un approccio che mira a garantire che le risorse pubbliche finanzino esclusivamente soluzioni ad alto standard di sicurezza e affidabilità.

Il calendario per i provider tecnologici

La novità più rilevante per il comparto ICT è l’istituzione dell’elenco dei soggetti abilitati: per vendere le soluzioni agevolabili le aziende fornitrici dovranno registrarsi attestando di rispondere a determinati requisiti. Le istanze per essere inclusi nell’elenco dei fornitori qualificati potranno essere presentate dalle ore 12:00 del 4 marzo 2026 fino alle ore 12:00 del 23 aprile 2026.

La gestione delle verifiche è affidata a Infratel Italia, che avrà il compito di vagliare le domande e, entro 60 giorni dalla chiusura dello sportello, formare l’elenco definitivo. Solo i servizi e i prodotti inclusi in questo catalogo, identificati da uno specifico codice, potranno essere oggetto di agevolazione da parte dei beneficiari finali. Le software house, i system integrator e i fornitori di servizi gestiti (MSP), dovranno organizzare la documentazione tecnica con anticipo per non restare esclusi da un mercato che vale potenzialmente 300 milioni di euro di spesa complessiva indotta.

Standard tecnici e certificazioni richieste

Il decreto direttoriale detta i requisiti di ammissibilità tecnica, dividendo i fornitori in due macro-categorie. La prima comprende coloro che offrono servizi già qualificati come “livello 1” (QC1) nel catalogo delle infrastrutture digitali e servizi cloud per la Pubblica Amministrazione (regolamento n. 21007/24). Per questi soggetti, l’iter è semplificato.

Per i fornitori privati che non rientrano nel catalogo ACN, il Ministero ha introdotto un criterio di equivalenza basato su certificazioni internazionali, essenziale per non restringere la concorrenza. L’allegato 1 del decreto specifica che, per le soluzioni hardware e software di cybersecurity (come firewall, endpoint protection, SIEM), è richiesta la certificazione ISO 9001 (Qualità) congiuntamente alla ISO/IEC 27001 (Sicurezza delle informazioni).

Per i servizi cloud infrastrutturali (IaaS, PaaS) e software (SaaS), l’asticella si alza: oltre alla ISO 9001 e alla ISO 27001 è richiesta l’estensione ISO/IEC 27017 (sicurezza specifica per il cloud) oppure, in alternativa, la certificazione CSA Star Level 2. 

La scheda dell’incentivo

Qui di seguito un riepilogo delle caratteristiche principali del Voucher Cloud e cybersecurity dedicato a PMI e lavoratori autonomi

1. Natura dell’incentivo: Le agevolazioni sono concesse sotto forma di contributo a fondo perduto.
2. Regime di aiuto: Le agevolazioni sono concesse ai sensi del regolamento de minimis (Regolamento (UE) 2023/2831). Possono essere cumulate con altri aiuti di Stato, inclusi altri aiuti “de minimis,” nei limiti stabiliti dalla disciplina europea in materia.
3. Misura del contributo: Il contributo è pari al 50% delle spese ammissibili sostenute per l’acquisizione dei servizi di cloud computing e cyber security.
4. Importi: L’importo massimo concedibile del contributo non può superare €20.000,00. Affinché i piani di spesa siano ammissibili, le spese totali connesse alla loro realizzazione non devono essere inferiori a €4.000,00 (quattromila/00).
5. Obiettivo delle spese: Sono ammissibili unicamente le spese sostenute per l’acquisizione di soluzioni tecnologiche nuove e aggiuntive rispetto a quelle a disposizione dei beneficiari e/o di soluzioni tecnologiche più avanzate e sicure rispetto a quelle in uso.
6. Risorse finanziarie: ammontano a €150.000.000 a valere sul Fondo sviluppo e coesione (FSC) relativo al periodo di programmazione 2014-2020.
7. Modalità di concessione: La concessione delle agevolazioni avviene sulla base di una procedura valutativa con procedimento a sportello.
8. Requisiti dell’offerta: I servizi devono essere qualificati come servizi cloud di livello 1 (QC1) e forniti da soggetti privati abilitati dall’Agenzia per la cybersicurezza nazionale (ACN).

La normativa di riferimento

DM_Voucher_cloud_cybersecurity_2025