Con la Determinazione 190 del 4 agosto 2025, AGID ha riscritto le regole del gioco sul fronte vigilanza e sanzioni per la transizione digitale. Il nuovo regolamento elimina i margini di negoziazione che caratterizzavano il passato, introduce termini perentori e amplia significativamente il perimetro documentale che gli enti devono essere pronti a esibire.
Un cambio di passo che trasforma la preparazione preventiva da buona prassi a necessità imprescindibile.
Indice degli argomenti
Il quadro normativo: da dove nasce il nuovo regolamento
Il potere sanzionatorio di AGID in materia di transizione digitale non è una novità: l’articolo 18-bis del CAD, introdotto dal Decreto Semplificazioni bis del 2021, aveva già conferito all’Agenzia poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto degli obblighi di digitalizzazione. Ciò che è cambiato con il Regolamento 190/2025 non è dunque il fondamento giuridico, bensì il modo in cui AGID intende esercitare concretamente questi poteri.
Il nuovo regolamento sostituisce la precedente Determinazione 270/2022 e risponde a una logica di maggiore strutturazione e rigore procedurale. La riorganizzazione interna dell’Agenzia ha portato alla separazione delle competenze tra due aree distinte: l’Area Vigilanza e Sicurezza, che si occupa dei controlli, e l’Area Affari giuridici, responsabile del procedimento sanzionatorio vero e proprio. Questa divisione, apparentemente tecnica, segnala un’evoluzione verso un approccio più formalizzato, dove gli spazi per la mediazione informale si riducono sensibilmente.
Un elemento che merita attenzione riguarda la natura stessa del provvedimento: trattandosi di un regolamento interno e non di una legge, la sua entrata in vigore non ha richiesto i passaggi tipici dell’iter legislativo. Questo spiega perché molti RTD si siano trovati di fronte a un cambio di scenario senza preavviso: il regolamento è entrato in vigore il 6 agosto 2025, il giorno successivo alla pubblicazione, senza alcun periodo transitorio.
Le novità sostanziali: cosa è cambiato davvero
La discontinuità più significativa rispetto al passato riguarda l’eliminazione dei piani di rientro negoziabili. Nel regime precedente, un ente che riceveva una contestazione poteva presentare un piano di adeguamento con tempi concordati e possibilità di proroga fino a 15 giorni. Oggi questo margine non esiste più: dopo la notifica del Rapporto di verifica, l’ente dispone di 30 giorni perentori per conformarsi, senza possibilità di negoziazione o estensione.
Il procedimento si articola in due fasi distinte. La prima, pre-istruttoria, consiste nell’attività di verifica vera e propria: AGID può richiedere documenti, somministrare questionari, condurre audizioni e, nei casi più rilevanti, effettuare ispezioni dirette presso gli enti. La seconda fase, quella sanzionatoria, scatta quando vengono accertate violazioni e l’ente non si conforma nei termini prescritti. L’intero procedimento deve concludersi entro 90 giorni.
Sul fronte delle sanzioni pecuniarie, il regolamento conferma quanto già previsto dall’articolo 18-bis del CAD: importi da 500 a 10.000 euro per ogni violazione, determinati in base alla gravità dell’inadempimento, ai danni provocati a cittadini e imprese e alla condotta collaborativa dell’ente. È prevista la possibilità di pagamento in misura ridotta entro 60 giorni dalla notifica.
Ma la vera novità che dovrebbe preoccupare i responsabili della transizione digitale non riguarda tanto l’entità delle multe, quanto le conseguenze sistemiche che ogni sanzione innesca. Il regolamento prevede infatti la segnalazione automatica all’Ufficio Procedimenti Disciplinari dell’ente per ogni violazione accertata, con potenziali ripercussioni dirette sulle persone fisiche coinvolte. A questo si aggiunge la comunicazione obbligatoria agli Organismi Indipendenti di Valutazione, con impatto sulla valutazione della performance individuale e organizzativa: si parla dunque di retribuzione, prospettive di carriera, progressioni economiche.
Una novità assoluta introdotta dal Regolamento 190/2025 è l’obbligo di informare la Corte dei Conti per ogni sanzione pagata, aprendo la strada a potenziali procedimenti per danno erariale. Infine, la pubblicazione delle segnalazioni sul sito istituzionale AGID rappresenta un danno reputazionale pubblico che, per molte amministrazioni, può risultare più gravoso della sanzione economica stessa.
Il perimetro documentale: cosa può chiedere AGID
L’articolo 3 del regolamento definisce con precisione inedita l’elenco dei documenti che AGID può richiedere nell’ambito delle verifiche. Non si tratta più di richieste generiche, ma di una lista specifica che comprende: piani di progetto e documenti correlati, analisi dei rischi, stati di avanzamento periodici, interventi di riesame, documentazione sulla gestione delle modifiche in corso d’opera, piani di rientro e azioni correttive in caso di scostamenti rispetto alle previsioni di tempi e costi, ed esiti degli audit svolti da terze parti sulla conduzione dei progetti.
A questa elencazione puntuale si aggiunge una formula aperta – “ogni altro documento correlato alla realizzazione degli obblighi di transizione digitale” – che conferisce ad AGID un margine discrezionale significativo. La conseguenza pratica è chiara: le PA devono disporre di una documentazione di progetto completa, aggiornata e immediatamente accessibile, perché non è possibile sapere in anticipo tutto ciò che potrebbe essere richiesto.
Il regolamento rafforza inoltre i poteri ispettivi dell’Agenzia, che può richiedere informazioni e documenti non solo agli enti vigilati ma anche a soggetti terzi nell’espletamento delle funzioni di controllo. Le comunicazioni avvengono tramite PEC, elemento che rende cruciale la formazione del personale addetto al protocollo: la tempestiva identificazione e corretta gestione di una comunicazione AGID rappresenta la prima linea difensiva dell’ente.
Le implicazioni pratiche: cosa significa per chi gestisce la transizione digitale
Il nuovo regime procedurale ridefinisce radicalmente il rapporto tra PA e AGID sul terreno della compliance digitale. In passato, un ente che riceveva una verifica poteva contare su tempi distesi e margini di trattativa; oggi chi non dispone di documentazione pronta rischia di trovarsi nell’impossibilità materiale di rispondere adeguatamente entro i 30 giorni previsti.
È bene sottolineare che il regolamento sanziona non solo le violazioni sostanziali degli obblighi di digitalizzazione, ma anche la mancata o parziale risposta alle richieste istruttorie e la comunicazione di informazioni non veritiere, anche se fornite in buona fede. Questo significa che un ente può incorrere in sanzioni semplicemente perché non ha saputo reperire in tempo la documentazione richiesta o perché ha fornito risposte incomplete.
La logica sottesa al nuovo regolamento premia dunque chi ha investito nella costruzione di un sistema documentale strutturato. Chi dispone di piani di progetto aggiornati, analisi dei rischi formalizzate, reportistica sugli stati di avanzamento e documentazione di accountability può affrontare una verifica con ragionevole serenità; chi invece ha proceduto per prassi informali o ha trascurato la componente documentale si trova oggi in una posizione di oggettiva vulnerabilità.
Un elemento di attenzione riguarda gli ordini professionali, non espressamente inclusi nell’articolo 2 comma 2 del CAD tra i soggetti destinatari degli obblighi di digitalizzazione. Su questo punto permangono incertezze interpretative, ma l’orientamento prudenziale suggerisce di non considerarsi automaticamente esclusi dal perimetro di vigilanza.
La preparazione come strategia: un cambio di prospettiva necessario
La riflessione che emerge dall’analisi del Regolamento 190/2025 riguarda il valore strategico della preparazione preventiva. In un contesto dove i tempi sono perentori e i margini di negoziazione inesistenti, l’unica difesa efficace è arrivare pronti a un’eventuale verifica.
Questo non significa vivere nell’ansia del controllo, ma piuttosto riconoscere che la documentazione di progetto, lungi dall’essere un adempimento burocratico, costituisce la migliore tutela per l’ente e per le persone che vi operano. Chi è in grado di dimostrare ad AGID di essersi attivato per la realizzazione degli obiettivi di digitalizzazione, documentando azioni, tempi e modalità, dispone di un vantaggio sostanziale in caso di verifica.
Il paradosso, se vogliamo, è che le sanzioni non dovrebbero essere la ragione per cui ci si impegna nella transizione digitale: i benefici dell’innovazione superano di gran lunga il rischio sanzionatorio. Tuttavia, una fetta significativa di enti fatica a muoversi in assenza di una pressione esterna, e il nuovo regolamento risponde evidentemente anche a questa esigenza di enforcement.
La posizione più ragionevole è dunque quella di chi integra la compliance documentale nel normale flusso di lavoro sulla transizione digitale, non come sovraccarico aggiuntivo ma come componente naturale di una gestione strutturata dei progetti. In questo modo, la preparazione alla verifica diventa un sottoprodotto di un approccio metodologico corretto, non un’attività emergenziale da improvvisare all’arrivo di una PEC da AGID.
Conclusioni
Il Regolamento AGID 190/2025 segna un punto di non ritorno nel rapporto tra Agenzia e pubbliche amministrazioni sul fronte della transizione digitale. L’eliminazione dei piani di rientro, i termini perentori di 30 giorni, l’ampliamento del perimetro documentale e soprattutto le conseguenze a cascata delle sanzioni – disciplinari, sulla performance, presso la Corte dei Conti, reputazionali – configurano un regime che lascia poco spazio all’improvvisazione.
Per chi gestisce la transizione digitale, il messaggio è chiaro: la preparazione preventiva non è più un’opzione ma una necessità. Disporre di documentazione strutturata, aggiornata e immediatamente accessibile rappresenta oggi l’unica strategia difensiva realmente efficace.
Per un approfondimento operativo sulle novità del regolamento e sulle azioni da intraprendere, è disponibile un webinar dedicato con analisi dettagliata del nuovo quadro normativo.
