Risposte alle domande frequenti sul Voucher Cloud & Cybersecurity (decreto ministeriale 18 luglio 2025 e decreto direttoriale 21 novembre 2025).
Aggiornamenti al 03 marzo 2026
Indice
1. Elenco fornitori
1) Chi può essere fornitore dei servizi agevolabili?
Possono essere fornitori: (i) i soggetti abilitati dall’Agenzia per la Cybersicurezza Nazionale (ACN) con servizi qualificati almeno di livello QC1; (ii) in alternativa, i soggetti non qualificati ACN che dimostrano il possesso delle certificazioni indicate nell’Allegato 1 del Decreto Direttoriale 21 novembre 2025, in relazione alla categoria di servizi offerti.
2) Solo i fornitori che erogano servizi agevolabili con qualifica almeno di livello 1 (QC1) possono iscriversi nell’elenco istituito dal Ministero di cui al decreto 21 novembre 2025?
No, l’iscrizione all’elenco istituito dal Ministero è consentita sia ai fornitori che offrono, nell’ambito del presente intervento agevolativo, servizi ammissibili con qualifica almeno di livello 1 (QC1) nel catalogo delle infrastrutture digitali e dei servizi cloud di cui al regolamento n. 21007/24 dell’Agenzia per la Cybersicurezza Nazionale (ACN), sia ai fornitori che non presentano servizi con la predetta qualifica ma che risultano in possesso delle certificazioni indicate nell’allegato 1 del decreto 21 novembre 2025, relative alla categoria di appartenenza del servizio e/o prodotto agevolabile erogato.
Uno stesso fornitore può offrire, pertanto, sia servizi agevolabili con qualifica almeno di livello 1 (QC1), sia servizi agevolabili sprovvisti di tale qualifica. In relazione a questi ultimi, è tenuto tuttavia a dimostrare il possesso delle relative certificazioni individuate nell’allegato 1.
3) Come si può presentare la domanda di iscrizione all’elenco dei fornitori?
La domanda deve essere presentata esclusivamente online, attraverso la procedura informatica e l’utilizzo degli schemi resi disponibili nell’area del portale del Ministero dedicata al presente intervento agevolativo.
4) Nella domanda di iscrizione all’elenco dei fornitori, quali informazioni sono richieste?
La domanda di iscrizione all’elenco di cui all’articolo 4 del decreto 21 novembre 2025, deve contenere, tra le altre informazioni eventualmente indicate negli schemi resi disponibili dal Ministero nell’area dedicate del portale, una descrizione sintetica dei servizi e/o prodotti erogati dal fornitore, l’indicazione della categoria di appartenenza dei predetti servizi e/o prodotti tra quelle individuate all’articolo 5 del decreto 21 novembre 2025, nonché, qualora lo stesso non presenti nell’ambito dell’intervento servizi ammissibili con qualifica almeno di livello 1 (QC1), la dimostrazione del possesso delle certificazioni individuate nell’allegato 1 del decreto 21 novembre 2025.
5) È possibile aggiornare la domanda di iscrizione all’elenco dei fornitori?
Fermo restando che il fornitore può presentare una sola istanza di iscrizione all’elenco di cui all’articolo 4 del decreto 21 novembre 2025, è possibile procedere ad un eventuale aggiornamento delle informazioni prima dell’invio della domanda, comunque entro il termine ultimo del 23 aprile 2026 per la presentazione delle istanze.
6) Un fornitore iscritto all’elenco può presentare domanda di agevolazione?
Sì, un fornitore iscritto all’elenco di cui all’articolo 4 del decreto 21 novembre 2025 può presentare domanda di agevolazione, purché in possesso dei requisiti di ammissibilità previsti dall’articolo 4 del decreto 18 luglio 2025, a condizione che si avvalga di servizi e/o prodotti offerti da altro fornitore.
7) Siamo fornitori (rivenditori) di prodotti hardware e servizi di cybersecurity. Non è chiaro se anche i rivenditori di soluzioni devono essere presenti nell'elenco o tale elenco riguarda solo i fornitori di servizi cloud ed i produttori degli apparati hardware. Questo con particolare riferimento anche alla tabella delle certificazioni per categoria dove per la categoria "e - Servizi professionali di configurazione, monitoraggio e supporto continuativo" vengono richieste le certificazioni ISO 9001 ed ISO 27001. In questo caso se offriamo i servizi di configurazione degli apparati forniti ricadiamo in questa categoria?
Sì, il system integrator che offre servizi di configurazione di prodotti e/o servizi di terzi deve iscriversi nell’elenco indicando servizi della categoria e) e fornendo le relative certificazioni.
8) La nostra società opera prevalentemente come rivenditore di soluzioni di terze parti (hardware, software e servizi cloud). Vorremmo quindi sapere se, ai fini dell’ammissibilità, sia necessario che il rivenditore sia iscritto all’elenco dei fornitori oppure se sia sufficiente che il produttore (vendor) della soluzione risulti regolarmente iscritto.
È necessario che anche il rivenditore sia iscritto all’elenco dei fornitori, indicando almeno un proprio prodotto o servizio tra quelli ammissibili, per il quale è qualificato almeno di livello 1 (QC1), oppure è in possesso delle certificazioni individuate nell’allegato 1 del decreto 21 novembre 2025.
Nell’elenco non è possibile indicare tra i propri servizi e/o prodotti le soluzioni di terze parti. Le soluzioni di terze parti devono essere censite solo dal fornitore terzo (produttore). In sintesi:
- Il produttore (vendor) censisce i propri servizi/prodotti nell’elenco;
- Il rivenditore/integratore si iscrive per i servizi di categoria e) Servizi professionali di configurazione, monitoraggio e supporto continuativo, senza dover censire i servizi/prodotti del vendor;
- Successivamente, in fase di offerta al beneficiario, il rivenditore potrà proporre i servizi/prodotti censiti dal vendor.
9) Si richiede un chiarimento interpretativo in merito alla nozione di “rivenditore” utilizzata nelle FAQ rilevante ai fini dell’ammissibilità del voucher.
In particolare, si chiede se rientri nella figura del rivenditore (e sia quindi soggetto agli obblighi di certificazione e di iscrizione nell’elenco dei fornitori ammessi) anche il partner commerciale che opera come intermediario, promuovendo i servizi al cliente finale, fermo restando che:
- il contratto è concluso direttamente tra il cliente finale e il fornitore ammesso;
- la fatturazione dei servizi è emessa esclusivamente dal fornitore ammesso;
- il partner, quindi, non intrattiene rapporti contrattuali né di fatturazione diretti con il beneficiario del voucher.
Il quesito è volto a comprendere se, in tale modello, i requisiti previsti dalla misura debbano riferirsi esclusivamente al soggetto che fornisce e fattura il servizio al beneficiario finale, ovvero anche ai partner che svolgono attività di intermediazione commerciale.
Il partner commerciale che opera come intermediario non è soggetto agli obblighi di certificazione e iscrizione nell’elenco dei fornitori ammessi.
10) I fornitori devono avere sede in Italia?
No. Possono essere soggetti UE o extra-UE, a condizione che le certificazioni siano emesse da ente certificatore accreditato da un organismo nazionale di accreditamento di un Paese membro dell’Unione Europea ovvero accreditato da un organismo nazionale di accreditamento beneficiario di un accordo di mutuo riconoscimento con l’organismo nazionale di accreditamento italiano.
11) Le certificazioni indicate nell’allegato 1 del decreto 21 novembre 2025 sono certificazioni di prodotto?
Le certificazioni indicate nell’allegato 1 afferiscono al fornitore che intende iscriversi all’elenco e non devono pertanto ricomprendere necessariamente nel loro ambito il servizio o prodotto agevolabile.
12) È possibile iscriversi all’elenco se le certificazioni sono in fase di ottenimento?
No. Le certificazioni devono essere valide e possedute alla data di presentazione dell’istanza di iscrizione. Non sono previste forme di ammissione provvisoria o transitoria.
13) Quali prodotti e servizi sono ammissibili alle agevolazioni?
Sono ammissibili alle agevolazioni i servizi e prodotti di cloud computing e cybersecurity ricompresi, ai sensi dell’articolo 5, comma 1 del decreto direttoriale 21 novembre 2025, in una o più delle seguenti categorie:
- soluzioni hardware cybersecurity, quali: firewall; firewall di nuova generazione (NGFW); router/switch; dispositivi di prevenzione delle intrusioni (IPS);
- soluzioni software cybersecurity, quali: antivirus e antimalware; software di monitoraggio delle reti; soluzioni di crittografia dei dati; sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM); software di gestione delle vulnerabilità;
- servizi cloud infrastrutturali (IaaS) e di piattaforma (PaaS), quali: virtual machine; servizi di storage & backup; network & security (inclusi connettività VPN e servizi DDoS), database;
- servizi Cloud SaaS, quali: software di contabilità; soluzioni per la gestione delle risorse umane (HRM); sistemi di gestione produttività/Workflow (ERP), incluse soluzioni di produttività aziendale integrate con funzionalità di intelligenza artificiale; software per la gestione di contenuti digitali (CMS) ed e-commerce; strumenti per gestire le interazioni con i clienti (CRM) che includono, tra gli altri, i servizi di collaborazione e centralino virtuale (UCC e PABX);
- servizi di configurazione, monitoraggio e supporto continuativo dei servizi, ivi inclusi i servizi professionali, fatta eccezione per i servizi di formazione. I servizi di cui alla presente lettera sono ammissibili nella misura massima del 30% del complessivo piano di spesa e devono essere connessi ad uno o più degli altri servizi individuati dal presente comma, in quanto intesi come servizi accessori funzionali a promuovere le finalità di transizione digitale e sviluppo di soluzioni tecnologiche individuate dal decreto 18 luglio 2025.
Per quanto le categorie di appartenenza del servizio e/o prodotto agevolabile debbano essere tassativamente quelle individuate dal richiamato articolo 5, i servizi indicati in tali categorie rappresentano un elenco esemplificativo e non esaustivo dei servizi ammissibili.
14) All’interno del portale ai fornitori verranno richiesti dati afferenti al DURC o al DGUE?
Per quanto attiene alla presentazione dell’istanza di iscrizione all’elenco dei fornitori, non sono richiesti dati afferenti al DURC e al DGUE.
15) Le soluzioni che rientrano al punto d) servizi Cloud SaaS, devono essere soluzioni già pronte all’uso oppure possono essere soluzioni che si andranno a sviluppare con il cliente?
Sono ammissibili sia le soluzioni già pronte all’uso, sia le soluzioni configurabili o personalizzabili, sia gli sviluppi applicativi realizzati per il cliente, purché erogati in modalità SaaS. In ogni caso tutte le soluzioni devono essere censite dal fornitore al momento dell’iscrizione all’elenco dei fornitori e dei relativi servizi e/o prodotti erogabili.
16) E’ ammissibile la vendita di servizi e/o prodotti erogati da fornitori terzi e qualificati almeno al livello 1 (QC1) nel catalogo ACN ma non censiti dal fornitore terzo nell’elenco di cui al comma 6 dell’articolo 4 del Decreto Direttoriale 21 novembre 2025 (elenco dei fornitori e dei relativi servizi e/o prodotti erogabili)?
No, tutte le soluzioni ammissibili per la successiva fase di presentazione delle domande di agevolazione devono essere censite dai fornitori al momento dell’iscrizione ed ammesse nell’elenco dei fornitori e dei relativi servizi e/o prodotti erogabili.
17) Una volta iscritti al registro, è possibile fornire esclusivamente beni e servizi presenti nel registro stesso o anche servizi non presenti, purché rientranti in una delle categorie di spese ammissibili?
Tutte le soluzioni ammissibili per la successiva fase di presentazione delle domande di agevolazione devono censite dai fornitori al momento dell’iscrizione ed ammesse nell’elenco dei fornitori e dei relativi servizi e/o prodotti erogabili.
18) Quando si parla tra le spese ammissibili di ERP e CRM, le spese verrebbero rimborsate anche qualora questi sistemi fossero on prem oppure per essere rimborsabili devono essere solo ed esclusivamente in cloud.
Ai sensi dell’art. 5, comma 1, del DM 18 luglio 2025, le tipologie di software ERP e CRM sono ammesse solo nella categoria d) servizi Cloud SaaS. Le uniche tipologie di software ammissibili in modalità on prem sono quelle della categoria b) soluzioni software cyber security.
19) Nella categoria di spese ammissibili d) servizi Cloud SaaS possono rientrare anche dashboard power BI?
Sì, nell’ambito della categoria d) servizi Cloud SaaS possono rientrare anche dashboard power BI: infatti le tipologie di servizi indicate nell’elenco delle quattro categorie a), b), c), d), rappresentano un elenco esemplificativo e non esaustivo delle tipologie di servizi/prodotti ammissibili.
20) Nell’ambito della voce “Servizi di configurazione, monitoraggio e supporto continuativo dei servizi, ivi inclusi i servizi professionali, fatta eccezione per i servizi di formazione”, potreste comunicarci quali servizi rientrano? Cosa si intende in dettaglio per servizi professionali? Sono servizi di mera consulenza?
I servizi professionali rientranti nella categoria e) di cui all’allegato 1 del decreto direttoriale 21 novembre 2025 sono diversi dalla mera consulenza: sono servizi operativi e tecnici direttamente collegati all’implementazione e gestione delle soluzioni. Restano esclusi i corsi di formazione e la consulenza pura (assessment teorici non seguiti da implementazione).
21) In relazione alle certificazioni richieste per le varie categorie, è ammissibile anche solo la certificazione della sede principale del fornitore di servizi oppure il fornitore di servizi deve avere la certificazione per tutte le sedi dell’azienda?
Ai fini dell’iscrizione nell’elenco fornitori, è ammissibile anche solo la certificazione della sede principale del fornitore.
22) Possono iscriversi all’elenco fornitori anche startup, nuove imprese, società di capitali, di persone, ditte individuali e liberi professionisti?
Sì, a condizione che i fornitori soddisfino i requisiti di cui all’articolo 4 del decreto direttoriale 21 novembre 2025
23) Una società ha realizzato diverse applicazioni software per PMI locali che offre in modalità SaaS e utilizzando infrastrutture di public cloud a livello internazionale già certificate (es: Azure, AWS, Google, Oracle, etc.). La società ha recentemente ottenuto la certificazione ISO/IEC 27001, tuttavia non ha incluso le estensioni 27017 e 27018. Tali estensioni sono necessarie per essere ammessi come fornitori oppure, data l'architettura utilizzata, il requisito si considera già soddisfatto dai provider di hosting?
Il fornitore che vuole iscriversi nell’elenco ed inserire applicazioni software erogate come Software as a Service (SaaS), deve possedere, oltre alla certificazione ISO 9001, la certificazione ISO/IEC 27001 con estensione ISO/IEC 27017 ovvero, quale alternativa la certificazione CSA Star Level 2.
24) Siamo una PMI Innovativa che offre una piattaforma e-commerce ed appoggia la gestione hosting e protezione dati ad una società terza e su cloud di una grande azienda internazionale: oltre a noi anche loro devono dimostrare di avere le certificazioni?
Le certificazioni devono essere possedute da chi eroga il servizio, il quale garantisce con la sua certificazione la compliance con tutti i requisiti del decreto. Solo se nell’offerta, e quindi nella fattura al beneficiario, sono riportati e quotati i servizi della società terza e del cloud provider, anche questi dovranno iscriversi nell’elenco dei fornitori e rispondere ai requisiti del Decreto 21 novembre 2025.
25) Tra i servizi ammissibili possono rientrare software di e-learning per incentivare le imprese ad acquisire competenze interne in materia di cyber security? (Aggiornamento 3/3/2026)
Le spese ammissibili riguardano soluzioni tecnologiche e/o servizi operativi. Sono esclusi i servizi di formazione o di miglioramento delle competenze, anche se erogati tramite piattaforme software di e-learning offerte in modalità cloud. Pertanto, le sole piattaforme software di e-learning prive di contenuti di formazione, offerte in modalità cloud, sono ammissibili.
26) Riguardo alla necessità di possedere determinate certificazioni da parte dei fornitori, si chiede se sia possibile costituire un’ATI (associazione temporanea di imprese) di modo che, una azienda con ISO 9001 e una azienda con ISO 27001, possano insieme partecipare alla registrazione a fronte dell'ATI sottoscritta.
Il Decreto 21 novembre 2025 (art. 4, c. 2, lett. b) e Allegato 1) richiede che il fornitore (singolo soggetto che presenta l’istanza) possegga le certificazioni coerenti con la categoria di servizi/prodotti che offrirà. Non è previsto un meccanismo di iscrizione come RTI/ATI che permetta la “somma” delle certificazioni tra imprese diverse.
27) La nostra azienda non possiede una certificazione ISO 27001 o una qualificazione ACN del livello richiesto, ma, facendo parte di un gruppo, potremmo avvalerci delle certificazioni della capogruppo / controllante? Inoltre, in caso questo fosse possibile, è necessario che anche la capogruppo si iscriva alla lista dei fornitori?
Ai fini dell’iscrizione all’elenco fornitori è necessario dimostrare il possesso delle certificazioni indicate nell’allegato 1 del Decreto 21 novembre 2025. Nel caso proposto si potrà iscrivere nell’elenco fornitori la sola società del gruppo che ha conseguito le certificazioni necessarie, quindi la capogruppo.
28) Un consorzio stabile è costituito da 8 aziende, di cui due hanno le certificazioni richieste: una azienda ha la ISO 9001 e un’altra la ISO/IEC 27001 con estensione ISO/IEC 27017. Il consorzio stabile può candidarsi come fornitore di implementazione e sviluppo di soluzioni cloud ERP?
Ai fini dell’iscrizione all’elenco fornitori è necessario dimostrare il possesso delle certificazioni indicate nell’allegato 1 del Decreto 21 novembre 2025. Nel caso proposto si potrà iscrivere nell’elenco fornitori il consorzio stabile.
29) La risposta alla domanda 10 recita: “[…] a condizione che le certificazioni siano emesse da ente certificatore accreditato da un organismo nazionale di accreditamento di un Paese membro dell’Unione Europea ovvero accreditato da un organismo nazionale di accreditamento beneficiario di un accordo di mutuo riconoscimento con l’organismo nazionale di accreditamento italiano.”
Se la certificazione viene rilasciata da un ente certificatore che opera sotto accreditamento internazionale rilasciato dall’organismo di accreditamento “International Accreditation Service (IAS)”, a sua volta membro dell’International Accreditation Forum (IAF), va bene o non è ammissibile come certificazione?
Sì, sono ammissibili tutte le certificazioni rilasciate da enti di certificazione accreditati da organismi di accreditamento appartenenti alle seguenti organizzazioni internazionali: European co-operation for Accreditation (EA), International Accreditation Forum (IAF) e International Laboratory Accreditation Cooperation (ILAC) (queste ultime due ora riunite in Global Accreditation Cooperation Incorporated (GACI). Accredia, l’organismo nazionale di accreditamento italiano, è infatti membro di EA ed è firmataria degli accordi di mutuo riconoscimento IAF MLA – Multilateral Agreements e ILAC MRA – Mutual Recognition Arrangements
30) Relativamente alla registrazione sul portale fornitori si chiede di chiarire se sarà necessario indicare il prezzo dei prodotti / servizi offerti;
Sul portale fornitori non sarà richiesto di indicare il prezzo dei servizi e prodotti offerti
31) Relativamente alla registrazione sul portale fornitori si chiede di chiarire se sarà possibile registrare dei pacchetti commerciali con un unico codice identificativo (ID prodotto);
Sul portale fornitori sarà possibile registrare dei pacchetti commerciali. Il fornitore potrà scegliere la "granularità" della rappresentazione della propria offerta, fatta salva la suddivisione in categorie e tipologie indicate nel decreto 21 novembre 2025.
32) La nostra società opera come system integrator e progetta ed eroga servizi infrastrutturali in modalità cloud (IaaS), comprendenti virtual machine, storage & backup, network & security, anche attraverso l’integrazione di hardware e software di terze parti (fornitori certificati ISO/IEC 27001). Le soluzioni possono essere erogate sia presso data center esterni sia presso data center del cliente, in configurazione cloud o ibrida. Si chiede se tali servizi infrastrutturali, possano rientrare tra i piani di spesa ammissibili alla misura.
I servizi e prodotti ammissibili nell’elenco dei fornitori devono rientrare nelle categorie di cui al decreto 21 novembre 2025 e possono essere combinati, anche con prodotti di terze parti, per comporre un servizio anche complesso. Rimangono le limitazioni indicate dalle categorie: per esempio, un software gestionale ERP installato presso il data center del cliente non è ammissibile in quanto la modalità di erogazione non è cloud (IaaS, PaaS o SaaS) ed il software ERP non rientra nella categoria b).
2. Beneficiari e modalità di accesso al contributo
Le indicazioni relative ai Beneficiari, alle modalità di funzionamento dello sportello agevolativo, nonché a qualsiasi ulteriore elemento necessario per l’accesso al contributo, saranno definite, ai sensi dell’articolo 6 del decreto direttoriale 21 novembre 2025, con successivo provvedimento direttoriale.