Per la Pubblica Amministrazione italiana la migrazione al cloud è entrata in una fase decisiva. Il 2026 rappresenta un punto di non ritorno non solo sul piano tecnologico, ma soprattutto su quello giuridico e amministrativo.
Le scadenze fissate dal legislatore, rafforzate dagli interventi regolatori di AgID e ACN e accompagnate dagli investimenti del PNRR, trasformano la transizione digitale da obiettivo strategico a requisito di legittimità dell’azione amministrativa.
In questo contesto, il nuovo Regolamento AgID sulla vigilanza e sulle sanzioni introduce un cambio di paradigma rilevante: il mancato rispetto degli obblighi di migrazione, classificazione dei dati e interoperabilità non è più oggetto di moral suasion, ma può attivare procedimenti sanzionatori con effetti diretti sull’ente e, indirettamente, sulla responsabilità dei dirigenti coinvolti.
Proviamo, pertanto, a comprendere il funzionamento del nuovo sistema sanzionatorio, chiarendo ruoli e competenze delle autorità coinvolte e mettendo in evidenza i principali snodi critici — procedurali, contrattuali e organizzativi — che le amministrazioni devono presidiare.
L’obiettivo è quello di fornire una lettura consapevole degli obblighi in materia di cloud pubblico, utile ai Responsabili per la transizione digitale e ai decisori amministrativi chiamati a governare questa fase di trasformazione.
Indice degli argomenti
Il nuovo quadro sanzionatorio per la transizione digitale
Il punto di partenza è certamente rappresentato dal Regolamento AgID in materia di vigilanza e sanzioni che, in estrema sintesi, definisce un procedimento amministrativo strutturato, che attribuisce rilievo centrale agli obblighi di collaborazione delle amministrazioni e alla tracciabilità delle attività di migrazione al cloud.
Le richieste istruttorie e gli obblighi di collaborazione delle amministrazioni
Il procedimento prende avvio, di norma, con una richiesta di informazioni ai sensi dell’articolo 17 del Codice dell’amministrazione digitale. AgID può richiedere documentazione relativa allo stato di avanzamento della migrazione, alla classificazione dei dati e dei servizi o ai contratti cloud in essere.
E’ importante sottolineare come la mancata risposta, un riscontro tardivo, la trasmissione di informazioni incomplete o non veritiere costituiscano una violazione autonoma degli obblighi istruttori, che può determinare l’irrogazione di una sanzione anche qualora la migrazione sia, sul piano tecnico, correttamente impostata.
La contestazione delle non conformità e i termini del procedimento
Qualora AgID rilevi una non conformità agli obblighi di legge, viene notificato un atto di contestazione che avvia formalmente il procedimento sanzionatorio.
Da tale momento decorrono termini perentori per la presentazione di memorie difensive o per la richiesta di audizione.
L’audizione rappresenta uno strumento rilevante per illustrare il contesto organizzativo dell’ente, dimostrare la buona fede e documentare l’adozione di misure correttive idonee a superare le criticità rilevate.
Il pagamento in misura ridotta e le implicazioni sul piano contabile
Il Regolamento prevede la possibilità di estinguere il procedimento mediante pagamento in misura ridotta.
Tuttavia, tale scelta non è neutra sul piano contabile e deve essere attentamente ponderata anche in relazione alle conseguenze (non banale) cui può condurre: la sanzione pagata viene, infatti, segnalata alla Corte dei conti e può costituire elemento di valutazione in eventuali procedimenti per danno erariale, in quanto assimilabile a un’ammissione della violazione.
Competenze e responsabilità nel governo del cloud pubblico
La governance del cloud pubblico si fonda su una chiara ripartizione di competenze tra le autorità nazionali:
- AgID esercita funzioni di vigilanza e sanzione sul rispetto degli obblighi di transizione digitale
- l’Agenzia per la cybersicurezza nazionale definisce i requisiti di sicurezza delle infrastrutture, qualifica i fornitori di servizi cloud e disciplina la classificazione dei dati e dei servizi.
La classificazione dei dati e la scelta delle infrastrutture ammissibili
La classificazione dei dati, che rappresenta il primo passaggio operativo obbligatorio per ogni amministrazione, riveste un ruolo fondamentale nell’intero processo in quanto determina l’infrastruttura cloud che ogni ente può/deve utilizzare in relazione alla tipologia di dati trattati.
Nella seguente tabella è riportata in maniera sinottica la soluzione cloud che ogni amministrazione deve adottare in base al risultato del processo di classificazione:
| Classe di dati | Definizione | Destinazione obbligatoria |
| Dati strategici | Dati la cui compromissione può incidere sulla sicurezza nazionale | Polo Strategico Nazionale |
| Dati critici | Dati la cui compromissione può pregiudicare funzioni pubbliche essenziali | Polo Strategico Nazionale |
| Dati ordinari | Dati la cui compromissione genera disservizi senza effetti sistemici | Cloud qualificato o PSN |
L’utilizzo di soluzioni non conformi rispetto alla classificazione effettuata espone l’ente a contestazioni per violazione delle norme di sicurezza e degli obblighi di transizione digitale.
Le scadenze normative e gli effetti del mancato rispetto
Le principali scadenze normative convergono nel 2026 soprattutto perchè gli interventi finanziati dal PNRR prevedono che la migrazione debba essere inderogabilmente completata, collaudata e asseverata entro il 31 marzo 2026. Il mancato rispetto di tale termine comporta la revoca del finanziamento e l’obbligo per l’ente di coprire la spesa con risorse proprie.
Entro il 30 giugno 2026, tutte le amministrazioni sono inoltre tenute a completare la dismissione dei CED non conformi.
A decorrere dal 1° luglio 2026, il mantenimento di infrastrutture on-premise prive dei requisiti richiesti costituisce una violazione permanente degli obblighi di legge.
Profili applicativi: esempi di criticità ricorrenti
Proviamo, ora, analizzare le principali problematiche di carattere applicativo che devono essere affrontate da un RTD al fine di garantire la conformita alle regole AgId e, conseguentemente, evitare le sanzioni.
Inadempimenti procedurali nelle interlocuzioni con l’autorità di vigilanza
Come anticipato in precedenza, il mancato riscontro a una richiesta istruttoria di AgID costituisce una violazione autonoma degli obblighi di collaborazione che può determinare l’irrogazione di una sanzione indipendentemente dalla correttezza tecnica della migrazione e incidere sulla valutazione della performance dirigenziale.
Ritardi nella migrazione e perdita dei finanziamenti PNRR
Il completamento tardivo delle attività di migrazione finanziate dal PNRR può comportare la revoca del contributo e l’insorgenza di un danno erariale, in quanto l’ente è tenuto a pagare il fornitore con fondi di bilancio per un intervento che avrebbe potuto essere finanziato con risorse europee.
Vincoli contrattuali e rischi di lock-in tecnologico
Contratti cloud privi di adeguate clausole di reversibilità possono determinare costi imprevisti per l’estrazione dei dati o l’impossibilità di cambiare fornitore. Tali situazioni configurano violazioni del Codice dell’amministrazione digitale e potenziali profili di responsabilità amministrativo-contabile.
Le criticità contrattuali nella fornitura di servizi cloud
Anche il momento della sottoscrizione di un contratto con un fornitore Cloud riveste un’importanza fondamentale, che richiede la verifica di alcuni punti di attenzione al fine di tutelare l’amministrazione e garantire il rispetto delle regole emanate da AgID e ACN.
Reversibilità dei dati e prevenzione del lock-in
I contratti devono prioritamente garantire la restituzione dei dati in formati aperti e standard, senza costi sproporzionati o vincoli tecnici che rendano di fatto impossibile il cambio di fornitore.
Modifiche unilaterali delle condizioni contrattuali e clausole vessatorie
L’accettazione di condizioni standard che consentono modifiche unilaterali delle prestazioni o limitazioni eccessive di responsabilità è incompatibile con i principi dell’evidenza pubblica e può determinare profili di nullità contrattuale e contestazioni da parte delle autorità di vigilanza.
Livelli di servizio e continuità operativa
La presenza di Service Level Agreement misurabili, accompagnati da penali automatiche, costituisce un requisito essenziale per garantire la continuità dei servizi digitali e il rispetto delle linee guida AgID in materia di acquisizione di soluzioni cloud.
Cloud e interoperabilità: il ruolo della Piattaforma Digitale Nazionale Dati
La migrazione al cloud deve essere accompagnata dall’esposizione delle API sulla Piattaforma Digitale Nazionale Dati in quanto la mancata interoperabilità costituisce una violazione autonoma degli obblighi previsti dal Codice dell’amministrazione digitale, anche in presenza di una migrazione tecnicamente conforme.
Indicazioni operative per la governance della transizione digitale
Una governance efficace della transizione digitale richiede la formalizzazione delle decisioni assunte, la documentazione delle attività svolte, il monitoraggio dei contratti cloud e la tracciabilità delle interlocuzioni con i fornitori e con le autorità di vigilanza.
Particolare attenzione deve essere riservata all’ammissibilità delle spese PNRR, alla prevenzione del doppio finanziamento, alla valutazione del costo totale di possesso delle soluzioni cloud e al rispetto degli obblighi in materia di accessibilità dei servizi digitali.
| Obbligo | Fonte normativa | Rischio | Misura di mitigazione |
| Migrazione PNRR | Avvisi PNRR | Revoca fondi e danno erariale | Monitoraggio costante e asseverazione nei termini |
| Dismissione CED | DL 179/2012 | Sanzione AgID | Piano di dismissione formalizzato |
| Risposta a istruttorie | Regolamento AgID | Sanzione autonoma | Riscontri tempestivi e documentati |
| Classificazione dati | Regolamento ACN | Nullità contratti cloud | Atto amministrativo formale |
| Interoperabilità | CAD | Sanzione AgID | Pubblicazione API su PDND |
Casi studio: esempi pratici di violazione e conseguenze
Per rendere tangibile il rischio, analizziamo tre scenari concreti basati sulle disposizioni vigenti, evidenziando il nesso tra errore amministrativo e sanzione.
Caso A: Il “silenzio” costoso (Violazione procedurale)
Lo scenario: L’AgID invia una PEC all’ente chiedendo copia della “Classificazione dati e servizi” inviata ad ACN. L’RTD, oberato di lavoro e convinto che sia una formalità non urgente, non risponde entro i 30 giorni assegnati.
La violazione: Art. 19 Regolamento AgID (Inottemperanza alla richiesta istruttoria).
La sanzione: AgID irroga una sanzione all’ente per mancata collaborazione, indipendentemente dal fatto che la migrazione fosse corretta o meno.
L’effetto domino: La sanzione viene comunicata all’OIV dell’ente. Il dirigente perde automaticamente una quota della retribuzione di risultato per l’anno in corso.
Caso B: La trappola del PNRR (Danno erariale)
- Lo scenario: Un Comune affida la migrazione in ritardo. Il collaudo e l’asseverazione su PA Digitale 2026 avvengono il 20 aprile 2026, venti giorni dopo la scadenza tassativa del 31 marzo.
- La conseguenza finanziaria: Il Dipartimento per la Trasformazione Digitale dichiara l’intervento inammissibile e revoca il finanziamento di € 150.000.
- Il danno: Il fornitore, avendo eseguito il lavoro, emette fattura e deve essere pagato. L’ente paga i 150.000 euro con fondi propri di bilancio.
- L’esito: La Procura della Corte dei Conti apre un fascicolo per danno erariale contro il Responsabile Unico del Progetto (RUP) per aver causato la perdita di fondi europei disponibili, chiedendo la rifusione personale del danno.
Caso C: Il Cloud “senza uscita” (Violazione contrattuale)
- Lo scenario: Un ente sottoscrive un contratto SaaS standard (“click-through”) con un fornitore. Dopo tre anni, decide di cambiare software. Il fornitore comunica che per estrarre i dati in formato leggibile (SQL) serve un costo extra di € 40.000 non previsto inizialmente, oppure restituisce i dati in un formato proprietario illeggibile.
- La violazione: Violazione dell’art. 68 del CAD (obbligo di reversibilità e dati aperti) e art. 33-septies DL 179/2012.
- La sanzione: AgID contesta all’ente la violazione degli obblighi di transizione digitale (lock-in tecnologico) con sanzione amministrativa. Contemporaneamente, la spesa extra di 40.000 euro per recuperare i propri dati configura un danno erariale per “mala gestio” contrattuale.
Guida pratica di sopravvivenza per l’RTD
Di fronte a questo scenario, l’RTD deve agire con una logica difensiva preventiva:
- Determina di Classificazione: Non limitarsi all’upload su PA Digitale 2026. Formalizzare la classificazione dati (Critici/Ordinari) con un atto amministrativo interno. Serve a giustificare la scelta del provider in futuro.
- Diffidare i Fornitori in Ritardo: Se il fornitore cloud è in ritardo, inviare subito PEC di diffida e messa in mora. Queste PEC saranno la vostra difesa davanti ad AgID per dimostrare che il ritardo non è colpa vostra (fatto del terzo).
- Audit dei Contratti in Essere: Verificare subito se i contratti cloud attivi hanno la qualificazione ACN valida (il regime transitorio è finito). Se il fornitore ha perso la qualifica, bisogna pianificare l’uscita immediata.
- Monitoraggio PDND: Inserire nei capitolati di gara cloud l’obbligo per il fornitore di pubblicare le API sulla PDND come condizione di collaudo.
La transizione digitale non è più un progetto tecnico, ma un percorso a ostacoli legale. La documentazione formale di ogni passaggio è l’unico scudo contro la responsabilità personale.
Cloud PA, le prospettive
La transizione al cloud nella Pubblica Amministrazione non può più essere interpretata come un progetto esclusivamente tecnologico. Il quadro normativo e regolatorio vigente dimostra come la conformità digitale sia oggi parte integrante della responsabilità amministrativa, con effetti diretti sulla gestione delle risorse pubbliche e sulla continuità dei servizi.
L’entrata a regime del sistema sanzionatorio AgID, insieme alle scadenze PNRR e agli obblighi di dismissione dei CED non conformi, impone alle amministrazioni un approccio strutturato, consapevole e documentato alla migrazione. Classificazione dei dati, scelte contrattuali corrette, attenzione alla reversibilità e all’interoperabilità non sono più elementi accessori, ma presupposti essenziali per la sostenibilità delle decisioni nel medio periodo.
Per i Responsabili della transizione digitale e per i dirigenti coinvolti, la sfida è duplice: rispettare le scadenze e, al contempo, costruire processi decisionali trasparenti e difendibili. In questa prospettiva, la governance del cloud rappresenta una leva di qualità amministrativa oltre che uno strumento di modernizzazione del settore pubblico.
