Centocinquanta milioni di euro. Una cifra importante, messa sul piatto da Adolfo Urso, ministro delle Imprese e del Made in Italy per spingere le PMI italiane verso il digitale.
Il decreto sui voucher per cloud e cybersecurity in uscita in Gazzetta Ufficiale e che la redazione di Agendadigitale.eu ha avuto modo di vedere in anteprima sembra, sulla carta, l’ennesimo tentativo di colmare quel gap tecnologico che spesso porta molte PMI e professionisti ad utilizzare le risorse digitali in modo “artigianale” e con scarsa, se non del tutto assente, cultura della sicurezza dei dati.
Eppure, leggendo con attenzione le 12 pagine del decreto, emergono delle incongruenze che rischiano di trasformare questa opportunità in un’occasione mancata.
Indice degli argomenti
Il voucher cloud e cybersecurity: cosa è, quanti soldi
Partiamo dalle basi. Il decreto offre alle piccole e medie imprese e ai lavoratori autonomi contributi a fondo perduto fino al 50% delle spese per servizi cloud e cybersecurity, con un tetto massimo di 20.000 euro.
L’idea è semplice: aiutare chi fa impresa a dotarsi di strumenti moderni per la sicurezza informatica e per spostare i propri dati e processi sul cloud.
I servizi finanziabili vanno dai firewall agli antivirus, dai servizi di backup ai software gestionali in cloud. Tutto quello che serve, insomma, per far fare alle nostre PMI quel salto di qualità digitale di cui si parla da anni. Il problema è che tra il dire e il fare c’è di mezzo un mare di burocrazia e, in questo caso, anche qualche svista normativa non da poco.
Il problema principale: servizi per la PA venduti ai privati
Eccoci al primo, grande paradosso. Il decreto stabilisce che tutti i servizi acquistabili devono essere “qualificati come servizi cloud di livello 1 (QC1)”. Fin qui tutto bene, se non fosse che questa certificazione QC1 deriva da un regolamento pensato esclusivamente per la pubblica amministrazione, adottato dall’Agenzia per la cybersicurezza nazionale (ANC) con Decreto Direttoriale n. 21007/24 del 27 giugno 2024 e applicabile dal 1° agosto 2024. È come se volessimo obbligare una impresa che produce cravatte (che magari vuole utilizzare il cloud per gestire i propri processi di produzione in diverse parti del territorio italiano) a comprare un software progettato per gestire un ministero.
Pensateci un attimo. I servizi certificati QC1 devono rispettare standard pensati per chi gestisce dati sensibili dei cittadini, per chi deve garantire l’interoperabilità con i sistemi dello Stato, per chi deve sottostare a controlli e audit tipici del settore pubblico. Un piccolo imprenditore che vuole semplicemente spostare la sua contabilità o processi produttivi sul cloud si trova costretto ad acquistare servizi sovradimensionati, costosi e complessi.
Ma c’è di più. I fornitori che hanno ottenuto questa certificazione sono pochissimi, proprio perché hanno investito tempo e risorse per servire un mercato specifico: quello della PA.
Perché è un problema
Il risultato? Le PMI avranno una scelta limitatissima di fornitori, prezzi probabilmente più alti del necessario e soluzioni pensate per tutt’altre esigenze. Il rischio inoltre è quello di una corsa alla qualificazione da parte dei fornitori che vogliono offrire i propri servizi ai privati, qualificazione che si ottiene dall’ANC.
Si tratta di un procedimento che di base dura 60 giorni, a cui si aggiungono due proroghe di 30 giorni ciascuna, poi ci sono gli eventuali tempi di attesa dei riscontri da parte del candidato (massimo 15 giorni, pena la chiusura del procedimento) in caso di richieste di integrazione dell’istanza da parte di ACN. L’esito del procedimento viene comunicato al candidato entro 15 giorni dalla conclusione del procedimento. Nei fatti quindi, la procedura dura tra 75 giorni, se va tutto bene e non ci sono proroghe o richieste di integrazione, ma che può arrivare con le proroghe a 150 giorni. Inoltre, siamo sicuri che l’ANC abbia il personale per gestire un prevedibile aumento di richieste di qualificazione pensate per il settore pubblico?
Voucher cloud e cybersecurity con criteri Acn: viola i principi europei, ecco perché
L’applicazione ai soggetti privati dei criteri previsti dal Regolamento ACN (Decreto Direttoriale n. 21007/24 del 27 giugno 2024), come condizione per accedere ai voucher di sostegno alle imprese, presenta diversi profili di illegittimità.
Prima di tutto dobbiamo considerare, il Regolamento ACN è stato adottato ai sensi dell’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, che conferisce all’Agenzia il potere di disciplinare le infrastrutture digitali e i servizi cloud per la pubblica amministrazione. L’estensione di tali criteri al settore privato esorbita chiaramente dall’ambito di competenza previsto dalla norma primaria.
Di fatto, sebbene ai soli fini della concessione di un incentivo, il decreto voucher cloud e cybersecurity estende un esercizio del potere regolamentare oltre i limiti fissati dal legislatore. E’ vero che la concessione di incentivi pubblici può essere finalizzata ad orientare le scelte private (si pensi agli incentivi elettrodomestici pensati solo per quelli a maggiore efficienza energetica), ma in questo caso l’approccio e è sproporzionato e non motivato.
Al contrario, in materia di sicurezza informatica, la Direttiva NIS 2 e il Cyber Resilience Act adottano un approccio basato sul rischio, differenziato per tipologia e dimensione dei soggetti, con misure proporzionate alle caratteristiche dell’operatore e una distinzione netta tra soggetti essenziali e importanti.
L’applicazione indifferenziata degli standard della PA risulta quindi in contrasto con il modello graduato imposto dal legislatore europeo, e non può essere neanche giustificato ai fini della concessione di incentivi pubblici che dovrebbero sempre essere orientati all’interesse generale, che prevede di evitare di gravare i soggetti privati di obblighi eccessivi. Inoltre, la consultazione pubblica conclusasi il 22 aprile 2023 ha mostrato interesse verso voucher per cloud e cybersecurity, ma non ha mai prospettato l’estensione integrale degli standard PA alle imprese. L’introduzione successiva di tale requisito contrasta con le aspettative legittime maturate durante la consultazione.
Dobbiamo inoltre considerare che l’imposizione di standard propri della PA, da un lato, crea una barriera all’ingresso che favorisce gli operatori già qualificati dall’ANC, e dall’altro penalizza PMI e professionisti che, privi delle risorse necessarie, si troverebbero costretti ad adeguarsi a requisiti di sicurezza eccessivi, affrontando oneri sproporzionati in un mercato ristretto di fornitori (non è dato sapere quanti nuovi fornitori potranno essere qualificati dall’ANC entro il termine di concessione dei voucher), solo per poter accedere a un voucher che dovrebbe invece rafforzarne la competitività.
Un simile assetto rischia di violare i principi di libera concorrenza tutelati dal diritto europeo, producendo un effetto distorsivo particolarmente grave nel settore degli aiuti pubblici, dove dovrebbe prevalere il principio della massima accessibilità alle misure di sostegno.
Infine, non va dimenticato che le risorse del Fondo Sviluppo e Coesione sono destinate a ridurre i divari territoriali e a promuovere lo sviluppo economico. Subordinare l’accesso a criteri concepiti per la PA finisce per accrescere, anziché ridurre, il divario digitale, penalizzando proprio le imprese più bisognose di supporto. Così facendo, si snatura la funzione “coesiva” dell’intervento, trasformando una misura di incentivazione in un ulteriore ostacolo burocratico che allontana i potenziali beneficiari e vanifica gli obiettivi di policy alla base della misura.
L’assurdo dei firewall che non possono essere certificati
Se l’estensione di un regolamento pensato per la pubblica amministrazione ai privati può sembrare una svista burocratica, il secondo rasenta l’assurdo. Il decreto elenca tra i beni acquistabili anche hardware per la cybersecurity: firewall fisici, router sicuri, dispositivi per prevenire le intrusioni. Ottimo, direte voi. Peccato che anche questi dispositivi hardware debbano essere certificati QC1.
Il problema? La certificazione QC1 secondo il regolamento n. 21007/24 semplicemente non esiste per l’hardware. È stata creata solo per i servizi cloud. Non è questione di requisiti più o meno stringenti: è proprio che si richiama una qualificazione ad oggi non esistente.
Questo significa che un’intera categoria di prodotti, fondamentale per la sicurezza informatica delle PMI, è di fatto esclusa dai finanziamenti. O meglio, è inclusa sulla carta ma impossibile da acquistare coi voucher nella pratica. Un cortocircuito normativo che lascia perplessi.
Voucher cloud e cybersecurity: gli altri nodi da sciogliere
Ma i problemi non finiscono qui. Il decreto prevede che chi sottoscrive abbonamenti per servizi cloud debba impegnarsi per almeno 24 mesi. Due anni sono un’eternità nel mondo tecnologico. Cosa succede se dopo sei mesi ti accorgi che il fornitore non fa al caso tuo? Se la tua azienda cresce e ha bisogno di servizi diversi? Se trovi un’offerta migliore? Perdi il restante contributo e basta.
E poi c’è la soglia minima di 4.000 euro di spesa. Per una media impresa può essere ragionevole, ma per un professionista o una microimpresa? Magari a loro basterebbe un investimento di 2.000 euro per fare un primo passo verso la digitalizzazione, ma così sono tagliati fuori.
Come sistemare le cose con il decreto voucher cyber e cloud PMI
Questi problemi si possono risolvere, e anche in fretta, se c’è la volontà politica di farlo.
Per prima cosa, bisognerebbe allargare le maglie della certificazione. Invece di limitarsi alla QC1, si potrebbero accettare servizi con certificazioni internazionali riconosciute come ISO 27001 o SOC 2. Sono standard seri, garantiscono sicurezza e qualità, sono pensati per il mercato privato. I fornitori sono molti di più, i prezzi più competitivi, le soluzioni più adatte alle PMI.
Per l’hardware, la soluzione è ancora più semplice: basta eliminare il requisito della certificazione QC1 e accettare dispositivi che rispettano gli standard di settore. Un firewall Fortinet o Cisco con le sue certificazioni di sicurezza dovrebbe essere più che sufficiente per proteggere una PMI.
Sul vincolo dei 24 mesi, si potrebbe essere più flessibili. Magari prevedere contratti di 12 mesi con un incentivo per chi rinnova, oppure permettere di cambiare fornitore senza perdere il contributo se si dimostra che il nuovo servizio è migliore o più economico.
La soglia dei 4.000 euro? Si potrebbe modulare in base alle dimensioni dell’azienda. Per una microimpresa o un professionista, anche 2.000 euro di investimento in digitalizzazione possono fare la differenza.
Il quadro più ampio: aiutare le PMI nel digitale
Ma facciamo un passo indietro e guardiamo il quadro generale. Questo decreto nasce con le migliori intenzioni: aiutare le PMI italiane e i lavoratori autonomi a digitalizzarsi, a proteggersi dalle minacce informatiche, a essere più competitivi. Sono obiettivi sacrosanti, soprattutto in un paese dove molte piccole imprese ancora faticano con la trasformazione digitale.
Il problema è che sembra scritto da chi conosce bene la pubblica amministrazione ma poco il mondo delle PMI e del lavoro autonomo. È come se si fosse preso un modello pensato per lo Stato e lo si fosse applicato tal quale al settore privato, senza chiedersi se avesse senso.
Questo approccio “taglia unica” è un problema ricorrente nelle politiche di digitalizzazione italiane. Si creano framework complessi, si richiedono certificazioni specifiche, si impongono vincoli rigidi, dimenticando che le PMI e i lavoratori autonomi hanno bisogno di flessibilità, semplicità, soluzioni su misura.
Una questione di metodo
Il vero problema, forse, non sono nemmeno le singole criticità del decreto, ma il metodo con cui è stato concepito. Sembra mancare un confronto reale con chi dovrebbe beneficiarne: le PMI, i loro consulenti informatici, i fornitori di servizi cloud specializzati nel mercato privato.
Se si fosse partiti dalle esigenze reali delle imprese e dei lavatori autonomi, probabilmente si sarebbe arrivati a un decreto diverso. Uno che magari prevedesse diversi livelli di contributo per diverse tipologie di imprese e lavoratori autonomi. Che riconoscesse che un libero professionista ha bisogni diversi da una media impresa manifatturiera. Che “capisse” che nel mondo del cloud la flessibilità è tutto.
L’occasione da non perdere
Nonostante tutto, questi 150 milioni sono un’opportunità importante. In un momento in cui la cybersecurity è diventata cruciale anche per le piccole imprese e i lavoratori autonomi, in cui il cloud può fare la differenza tra sopravvivere e crescere, un sostegno alla digitalizzazione è più che benvenuto.
Ma proprio perché l’opportunità è importante, è fondamentale che il decreto venga corretto rapidamente. Non servono stravolgimenti: basterebbero alcune circolari interpretative per chiarire che sono ammessi servizi con certificazioni equivalenti, che l’hardware non necessita della QC1, che c’è flessibilità sui vincoli temporali.
Il Ministero ha dimostrato in passato di saper ascoltare il mercato e correggere il tiro. Lo ha fatto con i precedenti voucher per la banda larga, lo può fare anche stavolta. L’importante è agire in fretta, prima che le imprese si scoraggino di fronte alla complessità burocratica.
Guardando avanti
Questo decreto potrebbe essere l’occasione per ripensare più in generale come lo Stato supporta la digitalizzazione delle imprese e dei lavoratori autonomi. Invece di creare framework rigidi e calati dall’alto, si potrebbe partire da un approccio più bottom-up, più attento alle esigenze reali del tessuto produttivo.
Si potrebbero creare tavoli permanenti di confronto con le associazioni di categoria, con i fornitori di tecnologia, con le stesse PMI. Si potrebbero prevedere meccanismi di feedback continuo per aggiustare le misure in corso d’opera. Si potrebbe, insomma, applicare alla policy quella stessa agilità e flessibilità che chiediamo alle imprese di adottare.
La digitalizzazione non è solo una questione di tecnologia, è una questione di mindset. E il mindset giusto parte dal riconoscere che ogni soggetto privato ha le sue specificità, i suoi tempi, le sue esigenze. Un voucher per il cloud non può essere uguale per un avvocato e per un’officina meccanica, per una startup innovativa e per un’azienda familiare tradizionale.
Che fare?
I 150 milioni stanziati dal decreto possono davvero fare la differenza per molte PMI e lavoratori autonomi, ma solo se vengono spesi bene. E spenderli bene significa prima di tutto rendere la misura accessibile, comprensibile, adatta alle reali esigenze dei soggetti privati.
Le criticità non sono insormontabili. Con un po’ di buona volontà e pragmatismo si possono risolvere in tempi brevi. L’importante è non intestardirsi su un impianto normativo che, così com’è, rischia di fallire il suo obiettivo.
La digitalizzazione nel settore privato non può aspettare. Ogni giorno perso è un’opportunità mancata, un vantaggio competitivo che sfuma, un rischio di sicurezza che si accumula. Questo decreto può essere uno strumento importante in questa sfida, ma deve essere uno strumento che funziona davvero, non solo sulla carta.
Il messaggio al Ministero dovrebbe essere chiaro: l’intenzione è buona, le risorse ci sono, ora sistemiamo i dettagli e facciamo in modo che questi soldi arrivino davvero a chi ne ha bisogno. Le PMI italiane non chiedono la luna, chiedono solo strumenti semplici ed efficaci per crescere e competere. Diamoglieli.
