Punti chiave
- La misura ufficiale è il Voucher Cloud & Cybersecurity, disciplinato dal decreto MIMIT del 18 luglio 2025.
- La dotazione finanziaria è di 150 milioni di euro, a valere sulle risorse del Fondo sviluppo e coesione relative alla programmazione 2014-2020.
- I beneficiari indicati sono PMI e lavoratori autonomi operanti sul territorio nazionale, con un contratto di connettività con velocità minima in download di 30 Mbps al momento della domanda.
- Il contributo è a fondo perduto, in regime de minimis, fino al 50% delle spese ammissibili e con tetto massimo di 20.000 euro.
- Tra le spese cybersecurity ammissibili rientrano firewall, NGFW, IPS, antivirus, antimalware, monitoraggio reti, crittografia, SIEM e gestione vulnerabilità.
- I servizi professionali di configurazione, monitoraggio e supporto continuativo sono ammissibili entro il 30% del piano complessivo e devono essere collegati ad altri servizi ammissibili.
- La registrazione dei fornitori è prorogata alle 12:00 del 27 maggio 2026; lo sportello per le domande dei beneficiari sarà definito con un successivo decreto direttoriale.
Ambito di questo articolo
Questa guida spiega cosa finanzia il voucher MIMIT cloud e cybersecurity, a chi si rivolge, quali passaggi operativi conviene preparare e come valutare un fornitore senza presumere che sia già presente nell'elenco ufficiale.
L'articolo si basa sulla pagina MIMIT aggiornata al 28 aprile 2026, sul decreto ministeriale del 18 luglio 2025, sul decreto direttoriale del 21 novembre 2025, sul decreto di proroga del 22 aprile 2026 e sulle FAQ MIMIT. Non sostituisce la documentazione formale del bando.
Cos'è il voucher MIMIT cloud e cybersecurity
Il Voucher Cloud & Cybersecurity è un incentivo pensato per sostenere la domanda di prodotti e servizi cloud computing e cybersecurity da parte di PMI e lavoratori autonomi. L'obiettivo non è rimborsare spesa IT generica; è aiutare le organizzazioni ad acquisire soluzioni nuove, aggiuntive, più avanzate o più sicure rispetto a quelle già in uso (decreto ministeriale MIMIT del 18 luglio 2025).
La pagina MIMIT precisa anche che prodotti e servizi agevolabili devono essere forniti da soggetti iscritti nell'apposito elenco formato e tenuto dal Ministero. Questo punto è operativo: un preventivo non è automaticamente finanziabile finché fornitore e servizio non risultano coerenti con l'elenco.
Chi può richiedere il voucher
La pagina MIMIT individua come beneficiari PMI e lavoratori autonomi che operano sull'intero territorio nazionale. Al momento della presentazione della domanda devono disporre di un contratto per servizi di connettività con velocità minima in download di 30 Mbps.
La procedura finale per i beneficiari non è ancora aperta. MIMIT indica che termini e modalità per le domande di PMI e lavoratori autonomi saranno definiti con un successivo provvedimento direttoriale, dopo la formazione dell'elenco dei fornitori abilitati (pagina MIMIT sull'incentivo).
Conseguenza pratica: le PMI possono preparare il fascicolo di progetto, ma dovrebbero attendere le istruzioni definitive MIMIT prima di fissare tempi, moduli, portale o meccanismo di graduatoria.
Cosa finanzia il voucher
MIMIT indica cinque categorie principali di spesa ammissibile:
| Categoria | Esempi MIMIT | Lettura operativa |
|---|---|---|
| Hardware cybersecurity | Firewall, NGFW, router/switch, dispositivi IPS | Protezione di rete e controlli perimetrali |
| Software cybersecurity | Antivirus, antimalware, monitoraggio reti, crittografia, SIEM, gestione vulnerabilità | Rilevamento, protezione e gestione delle vulnerabilità |
| Cloud IaaS e PaaS | Virtual machine, storage e backup, VPN, servizi DDoS, database | Modernizzazione infrastrutturale e sicurezza cloud |
| Cloud SaaS | ERP, HRM, workflow, produttività, CMS, e-commerce, CRM, UCC e PABX | Applicazioni cloud aziendali, anche configurabili o personalizzabili |
| Configurazione, monitoraggio e supporto continuativo | Servizi professionali esclusa la formazione | Ammissibili entro il 30% del piano e solo se collegati ad altri servizi agevolabili |
Le FAQ MIMIT chiariscono che consulenza pura e formazione sono escluse quando non sono collegate a un'implementazione operativa. Un assessment cybersecurity isolato, quindi, non basta se non porta a un servizio tecnico o continuativo ammissibile.
Importo e percentuale di copertura
L'agevolazione è un contributo a fondo perduto in regime de minimis. MIMIT indica una copertura massima del 50% delle spese ammissibili e un tetto di 20.000 euro per beneficiario.
| Parametro | Valore MIMIT | Conseguenza pratica |
|---|---|---|
| Piano minimo | 4.000 euro | I micro-progetti sotto soglia non sono adatti |
| Copertura massima | 50% delle spese ammissibili | L'impresa deve finanziare la quota non coperta |
| Contributo massimo | 20.000 euro | Progetti più grandi possono essere ammessi, ma il contributo resta limitato |
| Acquisto diretto | Massimo 12 mesi dalla concessione | Il calendario deve rientrare nella finestra del contributo |
| Abbonamento | Durata minima 24 mesi; costi ammessi entro i primi 24 mesi se più lungo | Durata contrattuale e costo finanziabile vanno distinti |
Come preparare la domanda
Lo sportello per i beneficiari non è ancora aperto. Le PMI possono comunque preparare i punti che di solito bloccano una richiesta di agevolazione:
- confermare status di PMI o lavoratore autonomo e requisito di connettività a 30 Mbps;
- identificare il gap cloud o cybersecurity da risolvere;
- evitare duplicazioni di prodotti o servizi già in uso con prestazioni analoghe;
- mappare ogni voce di costo a una categoria MIMIT ammissibile;
- verificare fornitore e servizio quando MIMIT pubblicherà l'elenco definitivo;
- preparare identità digitale, deleghe, dati camerali e firma digitale;
- mantenere un perimetro di progetto realizzabile e rendicontabile nei tempi richiesti.
La procedura lato fornitori passa attualmente dall'area riservata Invitalia. MIMIT ha pubblicato anche un manuale per l'accreditamento dei fornitori e una guida alla sezione certificazioni.
La lista dei fornitori abilitati
L'elenco fornitori è centrale per l'ammissibilità. MIMIT indica che i fornitori devono iscriversi in un elenco dedicato e che l'iscrizione attribuisce ai prodotti e servizi dichiarati la qualifica necessaria ai fini dell'agevolazione.
Il periodo iniziale per la registrazione fornitori era dal 4 marzo al 23 aprile 2026. MIMIT ha prorogato il termine alle 12:00 del 27 maggio 2026 con il decreto del 22 aprile 2026 (decreto MIMIT di proroga).
Le FAQ chiariscono anche che integratori e rivenditori possono dover iscriversi per i propri servizi di configurazione, monitoraggio e supporto continuativo. I prodotti di terze parti devono essere censiti dal vendor; l'integratore non può inserirli come propri.
Errori comuni nella richiesta
- Presumere che il fornitore sia ammissibile: verifica sia il fornitore sia il servizio quando l'elenco ufficiale sarà disponibile.
- Costruire un progetto di sola consulenza: MIMIT esclude consulenza pura e formazione dalla categoria dei servizi professionali.
- Ripetere capacità già presenti: la misura finanzia soluzioni nuove o più avanzate, non servizi equivalenti a quelli già in uso.
- Ignorare il limite del 30%: configurazione, monitoraggio e supporto non possono dominare il piano di spesa.
- Confondere durata contrattuale e periodo ammissibile: acquisti diretti e abbonamenti seguono regole temporali diverse.
Coordinamento con NIS 2, CRA e operatività cyber
Il voucher può sostenere progetti utili anche alla prontezza regolatoria. Una PMI soggetta a NIS 2, per esempio, può rafforzare gestione log, vulnerability management, backup cloud, monitoraggio o strumenti di risposta agli incidenti.
Per la pianificazione NIS 2, parti dalla guida Aegister alla NIS 2 e dall'articolo sulle misure di base ACN. Per progetti SIEM, leggi l'introduzione a Wazuh e l'articolo sulla gestione centralizzata dei log per il rilevamento NIS 2. I produttori dovrebbero considerare anche la guida sul Cyber Resilience Act.
Come valutare un fornitore cybersecurity
Finché MIMIT non pubblica o conferma l'elenco ufficiale, non basarti su dichiarazioni commerciali. Valuta i fornitori su elementi che conteranno nella pratica: categorie ammissibili, certificazioni, capacità operativa, documentazione dei deliverable e capacità di supportare implementazioni, non solo advisory.
L'approccio Aegister combina governance, raccolta evidenze tecniche e operatività continuativa tramite servizi Virtual CISO e Cyber Console. L'ammissibilità di qualsiasi servizio Aegister al voucher dovrà essere verificata rispetto all'elenco finale MIMIT e ai prodotti o servizi specificamente ammessi.
Esempi di pacchetti progettuali
Il modo più sicuro per progettare un intervento finanziabile è partire da un risultato operativo e poi mappare ogni costo a una categoria MIMIT ammissibile. L'impresa dovrebbe evitare una lista di acquisti scollegati, perché il fascicolo deve mostrare come il piano migliora sicurezza o maturità cloud.
| Esigenza business | Componenti potenzialmente ammissibili | Evidenze da conservare |
|---|---|---|
| Migliorare il rilevamento incidenti | SIEM, monitoraggio reti, configurazione e supporto continuativo | Perimetro, lista sorgenti log, piano onboarding, report di monitoraggio |
| Ridurre esposizione a vulnerabilità | Software di vulnerability management, supporto di configurazione, tracking remediation | Inventario asset, calendario scan, registro finding, evidenze di chiusura |
| Rafforzare resilienza cloud | Storage IaaS/PaaS, backup, VPN, servizi DDoS e configurazione sicura | Schema architetturale, test di backup, evidenze di controllo accessi |
| Modernizzare applicazioni aziendali | SaaS ERP, CRM, workflow o produttività con funzioni di sicurezza | Contratto, configurazioni, modello accessi utente |
Documenti da preparare prima dello sportello
Anche prima della pubblicazione dello sportello beneficiari, le PMI possono preparare un fascicolo evidenziale ordinato. Questo riduce il rischio operativo quando il decreto MIMIT definirà portale, moduli e scadenze.
- dati camerali e catena di delega di chi presenterà la domanda;
- evidenze dello status di PMI o lavoratore autonomo e dell'operatività nazionale;
- contratto di connettività con requisito minimo di 30 Mbps in download;
- descrizione della baseline cloud o cybersecurity corrente;
- piano progetto con categorie ammissibili, costi, durata e risultato atteso;
- preventivo del fornitore, da riconciliare con l'elenco ufficiale finale;
- tracciamento de minimis e verifica di cumulo con altri incentivi;
- modello di evidenze per rendicontazione finale e richieste di erogazione.
Questa preparazione resta utile anche se l'impresa decide di non presentare domanda. Lo stesso fascicolo può supportare readiness NIS 2, budget interno e due diligence fornitori.
Criteri decisionali prima di scegliere il fornitore
Prima di firmare un preventivo, la PMI dovrebbe fare tre domande concrete. Primo, il fornitore risulta nell'elenco ufficiale MIMIT per la categoria rilevante? Secondo, il prodotto o servizio specifico è incluso, non solo il nome del fornitore? Terzo, il fornitore può produrre evidenze di implementazione utili per erogazione e audit futuri?
Questo conta perché il voucher non è solo uno sconto. Crea un progetto finanziato con vincoli di ammissibilità, realizzazione e rendicontazione. Un fornitore tecnicamente valido ma incapace di documentare perimetro, date, deliverable e continuità del servizio può generare rischio amministrativo per il beneficiario.
FAQ
Lo sportello per le PMI è aperto?
No. Nella pagina MIMIT aggiornata al 28 aprile 2026, termini e modalità per le domande di PMI e lavoratori autonomi saranno definiti con un successivo decreto direttoriale.
Cosa finanzia il voucher?
Finanzia hardware, software, IaaS, PaaS, SaaS e servizi collegati di configurazione, monitoraggio e supporto continuativo, se rientrano nelle categorie MIMIT.
I servizi professionali sono finanziabili?
Sì, ma solo se collegati a prodotti o servizi ammissibili, entro il 30% del piano complessivo. Consulenza pura e formazione sono escluse dalle FAQ MIMIT.
Il fornitore deve essere nell'elenco ufficiale?
Sì. Devono risultare ammessi sia il fornitore sia i prodotti o servizi rilevanti.