Software as a Service appalti: guida normativa

SaaS negli appalti pubblici: normativa e opportunità per le aziende ICT

Il mercato dei software as a service appalti pubblici italiani vale miliardi di euro e la maggior parte delle software house non ci partecipa ancora. Il PNRR ha stanziato 623 milioni di euro per la migrazione cloud delle PA centrali (Missione 1, Componente 1), e oltre 22.000 enti pubblici italiani acquistano ogni anno servizi digitali. La domanda concreta è una sola: il tuo SaaS ha già i requisiti per essere venduto alla PA italiana, o mancano ancora dei passaggi?

Questa guida risponde in modo diretto, partendo dalla normativa fino agli strumenti pratici per intercettare le gare giuste.

SaaS negli appalti pubblici: definizione

Il Software as a Service negli appalti pubblici è un modello di fornitura in cui la PA paga un canone ricorrente per accedere a un'applicazione cloud senza installarla localmente. Per essere acquistato dalla PA italiana, ogni servizio SaaS deve essere qualificato da ACN e presente nel Catalogo cloud PA: senza questa qualificazione, il fornitore non può partecipare formalmente alle gare.

SaaS per la PA: definizione tecnica e normativa

Il SaaS (Software as a Service) è un modello di erogazione software in cui l'applicazione risiede su infrastruttura cloud del fornitore e viene fruita dall'ente pubblico tramite browser o API, senza installazione locale. Il corrispettivo è tipicamente un canone ricorrente (mensile o annuale) proporzionato al numero di utenti o al volume di utilizzo.

Dal punto di vista normativo, la PA non può acquistare qualsiasi servizio SaaS. Deve scegliere tra i servizi qualificati da ACN (Agenzia per la Cybersicurezza Nazionale) e presenti nel Catalogo cloud PA. Questa restrizione è il primo elemento che distingue la vendita al pubblico da quella al privato.

Il Catalogo cloud PA, gestito da ACN in collaborazione con Consip, ospita esclusivamente servizi che hanno superato l'istruttoria tecnica di qualificazione: nel 2024 i servizi SaaS qualificati presenti superavano le 500 schede attive.

Perché la PA acquista più servizi in modalità SaaS

La Strategia Cloud Italia ha fissato un obiettivo chiaro: spostare il 75% dei workload della PA su infrastrutture cloud qualificate entro il 2026. Il driver non è solo tecnologico: il modello SaaS abbassa i costi di gestione e manutenzione per l'ente, elimina il problema delle versioni software obsolete, e semplifica gli aggiornamenti normativi (es. adeguamento GDPR, nuovi obblighi fiscali).

Per un vendor ICT, questo significa una domanda strutturale in crescita. Non un'opportunità spot, ma un mercato che si consolida per almeno un decennio.

Il Piano Triennale per l'informatica nella PA, redatto da AGID, quantifica in oltre 5,5 miliardi di euro la spesa ICT annua delle pubbliche amministrazioni italiane, con una quota crescente destinata a servizi in abbonamento cloud.

Appalto SaaS: dalla pubblicazione all'aggiudicazione

Un appalto SaaS segue le procedure del D.Lgs. 36/2023 (Codice dei Contratti Pubblici): sotto le soglie UE si usano affidamenti diretti o MePA, sopra soglia scattano gare aperte con pubblicazione obbligatoria su GUUE. Il percorso completo dalla pubblicazione del bando all'aggiudicazione dura in media 90-180 giorni per le procedure sopra soglia e 30-60 giorni per le procedure negoziate sotto soglia.

Le soglie UE che determinano la procedura da seguire

Il D.Lgs. 36/2023 (Codice dei Contratti Pubblici) regola le forniture di servizi informatici con le stesse procedure generali, ma le soglie di rilevanza europea determinano quale iter seguire. Per i servizi ICT (categoria "forniture e servizi") le soglie di rilevanza europea vigenti sono:

• €143.000 per le amministrazioni centrali dello Stato
• €221.000 per tutti gli altri enti pubblici

Sotto queste soglie, la stazione appaltante può ricorrere a procedure negoziate, affidamenti diretti e acquisti via MePA. Sopra soglia, scattano le procedure di affidamento applicabili con pubblicazione obbligatoria su GUUE e termini minimi di partecipazione più lunghi.

Per un vendor SaaS con contratti da €30.000-100.000 annui, la fascia sotto soglia è la più rilevante in fase di ingresso. Ma ignorare le gare sopra soglia significa perdere i contratti più grandi.

I requisiti tecnici e di qualificazione richiesti ai fornitori ICT

Per partecipare a una gara software as a service appalti pubblici, un fornitore ICT deve soddisfare tre categorie di requisiti:

Requisiti generali (artt. 94-98 D.Lgs. 36/2023): assenza di cause di esclusione (condanne penali, irregolarità fiscali e contributive, violazioni ambientali). Vengono dichiarati nel DGUE.

Requisiti di capacità economico-finanziaria: fatturato globale minimo, spesso pari a 1-2 volte il valore del contratto. Per un appalto da €80.000, serve un fatturato di almeno €80.000-160.000 negli ultimi tre anni.

Requisiti tecnici: esperienze analoghe (referenze di forniture simili), certificazioni di qualità (ISO 9001, ISO 27001 per i servizi cloud), e (in molti casi) la qualificazione ACN del servizio offerto.

La certificazione ISO 27001 è richiesta come requisito tecnico minimo in oltre il 60% dei capitolati per servizi SaaS cloud destinati alla PA italiana, secondo un'analisi sui bandi ICT pubblicati su ANAC BDNCP nel 2023-2024.

La certificazione AgID e il Marketplace Cloud: cosa cambia per chi partecipa

Dal 2021, le PA hanno l'obbligo di acquistare servizi cloud solo tra quelli qualificati da AgID prima, e ora da ACN. La qualificazione è a livello di servizio, non solo di azienda: puoi avere una società strutturata, ma se il tuo SaaS non è nel Catalogo cloud PA, non puoi rispondere a molte gare.

Il Catalogo cloud PA è lo strumento centrale: aggrega tutti i servizi qualificati (IaaS, PaaS, SaaS) e consente alle PA di consultare le offerte disponibili. Essere presenti in catalogo è un prerequisito operativo, non un vantaggio competitivo: è la condizione minima per esistere in quel mercato.

Il MePA (Mercato Elettronico della Pubblica Amministrazione), gestito da Consip, rappresenta il canale di acquisto principale per le forniture ICT sotto soglia: nel 2023 ha intermediato oltre 3 milioni di transazioni tra PA e fornitori privati.

Normativa di riferimento per gli appalti SaaS nel 2026

La normativa sugli appalti SaaS si articola su tre livelli: il D.Lgs. 36/2023 disciplina le procedure di gara, la qualificazione ACN certifica i singoli servizi cloud, e le Disposizioni Consip definiscono i requisiti tecnici dei capitolati. Conoscere tutti e tre i livelli è necessario per rispondere correttamente a una gara: ignorarne anche uno solo è la causa più frequente di esclusione per i vendor ICT alle prime esperienze.

D.Lgs. 36/2023 e le regole su requisiti e dichiarazioni (artt. 94-98)

Il D.Lgs. 36/2023 è il codice di riferimento vigente. Ha sostituito il D.Lgs. 50/2016 e ha introdotto semplificazioni significative nelle procedure sotto soglia, ma ha anche rafforzato i requisiti di digitalizzazione del processo: tutte le gare sopra €40.000 devono essere pubblicate su BDNCP (Banca Dati Nazionale dei Contratti Pubblici).

Gli articoli 94-98 disciplinano i motivi di esclusione automatica e facoltativa. Per una software house, gli elementi critici sono:

• Art. 94: cause di esclusione automatica (condanne definitive, false dichiarazioni, frodi)
• Art. 95-96: cause di esclusione per irregolarità fiscali e contributive
• Art. 97-98: esclusione facoltativa (situazioni come conflitti di interesse, gravi inadempimenti contrattuali precedenti, o insufficiente affidabilità professionale)

La dichiarazione di questi requisiti avviene tramite DGUE (Documento di Gara Unico Europeo), un formulario standardizzato a livello UE. Compilarlo richiede 2-4 ore la prima volta. Con un profilo aziendale ben strutturato, le successive si riducono drasticamente.

Caso d'uso reale - Una PMI di servizi IT con 12 gare/anno ha ridotto il tempo di preparazione del DGUE da 3 ore a 8 minuti per gara, usando un profilo precompilato con tutti i dati societari, le referenze aggiornate e le dichiarazioni artt. 94-98 già verificate. Il risparmio annuo stimato: oltre 30 ore di lavoro sottratte alla preparazione documentale.

Le disposizioni Consip per il procurement SaaS cloud PA

Consip ha pubblicato specifiche "Disposizioni per il procurement dei servizi Software as a Service per il Cloud della PA" che integrano le regole del Codice con indicazioni operative per le stazioni appaltanti. Questi documenti definiscono come strutturare i capitolati tecnici per servizi SaaS, quali livelli di servizio (SLA) richiedere, e come gestire i dati in caso di cessazione del contratto.

Per un vendor SaaS, conoscere queste disposizioni significa sapere cosa ti chiederanno nel capitolato prima ancora di leggere il bando. Tra i punti ricorrenti: portabilità dei dati (export in formato aperto), SLA con uptime minimo del 99,5%, procedure di disaster recovery documentate, e localizzazione dei dati in territorio UE.

Il Regolamento UE 2022/2554 (DORA), sebbene nato per il settore finanziario, sta influenzando i requisiti di resilienza operativa richiesti nei capitolati SaaS delle PA italiane più strutturate, in particolare per i servizi che trattano dati sensibili o critici.

Qualificazione ACN: il passaporto obbligatorio per il cloud PA

La qualificazione ACN è il processo attraverso cui un fornitore dimostra che il proprio servizio cloud rispetta i requisiti di sicurezza, affidabilità e conformità richiesti per la PA. È obbligatoria: una PA che acquista un servizio SaaS non qualificato viola la normativa vigente.

Cos'è la qualificazione ACN per il SaaS? È una certificazione rilasciata da ACN che attesta la conformità di un servizio cloud (SaaS, PaaS o IaaS) ai requisiti minimi definiti dalla Strategia Cloud Italia (in termini di sicurezza dei dati, continuità operativa, GDPR compliance e portabilità).

Esistono tre tipologie di qualificazione in base al modello di servizio: SaaS (applicazione erogata come servizio), PaaS (piattaforma di sviluppo) e IaaS (infrastruttura virtuale). Un vendor di software in abbonamento deve qualificare il proprio servizio come SaaS.

I criteri principali per la qualificazione SaaS includono: sede dei dati in UE, cifratura in transito e a riposo, autenticazione a più fattori, SLA documentati, procedure di portabilità e cancellazione dei dati, e piano di continuità operativa.

L'iter prevede la compilazione di una domanda tecnica con allegati documentali, una fase di istruttoria da parte di ACN, e (per i livelli più alti) una verifica tecnica. I tempi medi di istruttoria sono di 60-90 giorni dalla presentazione della domanda completa.

ACN ha gestito oltre 1.200 domande di qualificazione cloud tra il 2022 e il 2024, con un tasso di rigetto superiore al 30% causato principalmente da documentazione tecnica incompleta sulla portabilità dei dati e sui piani di continuità operativa.

Per approfondire il processo, consulta la guida alla qualificazione cloud PA.

Attenzione - Errori comuni nella domanda di qualificazione ACN:

• Documentare i SLA solo sulla carta, senza sistemi di monitoraggio attivi
• Indicare sede dati "in UE" senza specificare il paese e il contratto con il cloud provider
• Non allegare il piano di portabilità dei dati (è richiesto esplicitamente)
• Inviare la domanda con certificazioni ISO scadute o in fase di rinnovo
• Confondere la qualificazione del fornitore con quella del singolo servizio: servono entrambe

Modelli di pricing SaaS negli appalti: cosa è ammesso e cosa no

Il modello di pricing SaaS è ammesso negli appalti pubblici italiani a condizione che il contratto abbia durata definita (massimo 4 anni) e che la stazione appaltante possa calcolare il valore totale stimato al momento della gara. Il canone ricorrente mensile o annuale è il formato più compatibile con le regole del D.Lgs. 36/2023. Il rinnovo automatico indefinito è invece incompatibile con la normativa PA.

Qui sta uno dei pain point più comuni per le software house che si affacciano agli appalti pubblici: il modello di pricing che funziona nel mercato privato non si trasferisce automaticamente alla PA.

Subscription vs licenza perpetua. Il Codice dei Contratti non vieta i canoni ricorrenti, ma pone limiti alla durata contrattuale: i contratti di servizi non possono superare i 4 anni (salvo eccezioni motivate). Questo significa che un abbonamento SaaS con rinnovo automatico indefinito non è direttamente applicabile: serve un contratto con durata definita, eventualmente rinnovabile con atto formale.

Pay-per-use e metered billing. Sono ammissibili, ma devono essere strutturati in modo da consentire alla stazione appaltante di stimare il costo totale (Estimated Contract Value) al momento della gara. Una formula di pricing troppo variabile rende difficile la comparazione delle offerte. La soluzione pratica: un canone base fisso più componente variabile cappata.

Freemium e trial. Non applicabili nelle gare formali. Utili però nelle fasi di market engagement: partecipare a demo, rispondere a RFI (Richieste di Informazioni) pre-gara, o presentare il servizio a convegni PA.

Prezzi nel Catalogo cloud PA. Nel catalogo, i prezzi vengono esposti per unità (per utente/mese, per GB/mese, per transazione). Le PA possono confrontare direttamente le offerte. Questo rende la trasparenza dei prezzi un elemento competitivo: chi ha un pricing chiaro e strutturato è avvantaggiato rispetto a chi richiede sempre una quotazione personalizzata.

Approfondisci la struttura dei contratti SaaS con la PA per la trattazione contrattuale completa.

L'ANAC (Autorità Nazionale Anticorruzione) ha precisato in diverse delibere che la struttura dell'offerta economica deve sempre consentire la determinazione univoca del valore totale del contratto, requisito che nei bandi SaaS si traduce nell'obbligo di un canone base fisso quantificabile.

Le opportunità concrete: dove intercettare le gare SaaS

Le gare SaaS per la PA italiana sono pubblicate su tre canali principali: il MePA (Mercato Elettronico della PA, gestito da Consip) per gli acquisti sotto soglia, la BDNCP di ANAC per le gare sopra soglia, e le piattaforme regionali come Sintel (Lombardia) e SATER (Emilia-Romagna) per i bandi degli enti locali. Solo nel settore ICT, ANAC registra migliaia di bandi all'anno classificati con CPV codes della famiglia 72000000.

I canali principali per i vendor SaaS che vogliono accedere al mercato pubblico italiano sono tre.

MePA (Mercato Elettronico della PA). È il marketplace gestito da Consip dove le PA acquistano beni e servizi sotto soglia. Per i servizi ICT, esistono categorie dedicate: consulta le categorie ICT su MePA per verificare dove inserire il tuo servizio. Il processo di accreditamento prevede il caricamento del catalogo prodotti (vedi come caricare il tuo servizio sul MePA). Le modalità di acquisto sono due: OdA (Ordine Diretto, il cliente compra direttamente dal catalogo) e RdO (Richiesta di Offerta, il cliente invita più fornitori a offrire). La differenza tra OdA e RdO su MePA impatta significativamente la tua strategia commerciale.

Gare aperte su ANAC. Per importi sopra soglia, le gare vengono pubblicate sulla BDNCP con CPV codes specifici per i servizi IT (72000000 e sotto-categorie). Il volume è rilevante: solo nel settore ICT si contano migliaia di bandi all'anno.

Affidamenti diretti e procedura negoziata sotto soglia. Per importi fino a €143.000 (altri enti), la PA può ricorrere a procedure semplificate. Calcola le soglie per affidamento diretto per capire in quale fascia si collocano le tue offerte. Questa è spesso la porta di ingresso più rapida per un vendor SaaS all'inizio.

Il problema reale non è la scarsità di gare ICT. È che sono disperse su decine di portali (ANAC, MePA, gazzette regionali, piattaforme come Sintel in Lombardia, SATER in Emilia-Romagna, SICP in Calabria) e identificare quelle davvero compatibili con il proprio profilo richiede ore ogni settimana. Questo è il punto in cui entra in gioco uno strumento dedicato.

Implicazioni pratiche per le PMI ICT: da dove cominciare

Una PMI ICT che vuole vendere SaaS alla PA deve seguire una sequenza precisa in cinque passi: verifica dei requisiti ACN, iter di qualificazione (60-90 giorni), caricamento su Catalogo cloud PA e MePA, adattamento contrattuale alle clausole PA, e monitoraggio sistematico dei bandi. Saltare anche uno solo di questi passaggi significa candidarsi a gare per cui non si è ancora qualificati, sprecando risorse e perdendo credibilità presso le stazioni appaltanti.

Per una software house o startup che vuole entrare negli appalti PA, il percorso ha una sequenza logica. Saltare uno step significa perdere tempo su gare per cui non si è ancora qualificati.

1. Verifica se il tuo SaaS rientra nelle categorie qualificabili ACN (controlla i requisiti tecnici minimi e valuta il gap rispetto alla tua architettura attuale).
2. Avvia l'iter di qualificazione ACN (consulta la guida alla qualificazione cloud PA e prepara la documentazione tecnica con anticipo: i tempi medi superano i 60 giorni).
3. Carica il servizio nel Catalogo cloud PA e su MePA (segui le istruzioni su come caricare il tuo servizio sul MePA e struttura il pricing in modo compatibile con le regole PA).
4. Studia la contrattualistica specifica PA: i contratti SaaS con la PA hanno clausole che non esistono nel B2B privato (portabilità dei dati, cessione del contratto, penali per SLA).
5. Monitora sistematicamente i bandi ICT: questo è il passaggio che separa chi partecipa sporadicamente da chi costruisce una pipeline commerciale PA solida. Senza monitoraggio strutturato, si perdono deadline e opportunità rilevanti.

Se sei agli inizi, leggi anche la guida MePA per startup e nuove imprese e approfondisci gli appalti informatici per PMI per capire i requisiti minimi di ingresso.

Il Codice Europeo delle Comunicazioni Elettroniche (Direttiva UE 2018/1972) e il framework NIS2, recepito in Italia con D.Lgs. 138/2024, stanno ampliando i requisiti di sicurezza informatica che i fornitori SaaS devono documentare già in fase di partecipazione alle gare PA.

Come un'impresa ICT individua e valuta le gare SaaS in modo efficiente con Avvista

Un'impresa ICT che monitora manualmente i bandi SaaS impiega in media 2 ore al giorno per controllare ANAC, MePA e le piattaforme regionali: con uno strumento dedicato come Avvista, questo tempo si riduce a pochi minuti a settimana. Avvista aggrega oltre 20.000 fonti pubbliche e assegna a ogni bando uno score da A a E calibrato sul profilo aziendale, eliminando la necessità di screening manuale su decine di portali.

Il monitoraggio manuale dei bandi ICT è il collo di bottiglia più comune per le PMI che cercano opportunità di software as a service appalti pubblici. Controllare ANAC, MePA, Gazzetta Ufficiale, Sintel, SATER e altri portali regionali richiede 2 ore al giorno. Uno studio di ingegneria con 5 gare al mese ha eliminato questo carico passando a un sistema centralizzato.

Discovery da 20.000+ fonti. Avvista aggrega bandi da ANAC BDNCP, MePA, PVL ANAC, Gazzetta Ufficiale e oltre 20.000 fonti pubbliche, incluse le piattaforme regionali. Un vendor SaaS non deve più controllare manualmente decine di portali: i bandi ICT con i CPV codes rilevanti arrivano filtrati in un'unica dashboard.

Scoring A-E per profilo aziendale. Ogni bando intercettato riceve uno score da A (alta rilevanza) a E (irrilevante), calibrato sul profilo dell'azienda: CPV codes ICT dichiarati, soglie di fatturato compatibili, tipologia di procedura. Un'azienda SaaS con fatturato €500.000 vede solo le gare con requisiti economici accessibili (non si perde su bandi fuori portata con requisiti da €5 milioni). Le aziende ICT che usano lo scoring A-E riducono il tempo di screening da ore a minuti per settimana.

Gap-analysis dei requisiti. Per ogni bando, Avvista evidenzia automaticamente i requisiti che l'azienda non soddisfa ancora (qualificazione ACN mancante, fatturato minimo non raggiunto, referenze insufficienti) con segnalazione verde/giallo/rosso. Il team commerciale sa prima di investire 40 ore se ha senso candidarsi o se è meglio prepararsi per il prossimo ciclo. Questa funzionalità è nella fase DECIDI del piano Pro, ed è quello che distingue uno screening intelligente da una semplice lista di bandi.

La differenza rispetto agli strumenti generici: non ti dà tutti i bandi, ti dà quelli compatibili con il tuo profilo. Per quelli che non lo sono ancora, ti dice esattamente cosa manca.

Inizia a monitorare le gare SaaS: individua subito le opportunità compatibili

Hai un SaaS e vuoi capire quali gare PA sono alla tua portata oggi? Imposta il tuo profilo ICT su Avvista, attiva i filtri per servizi SaaS e cloud, e ricevi solo i bandi con score A o B per la tua azienda, senza controllare manualmente decine di portali ogni settimana.

Il trial dura 7 giorni, include il piano Pro completo (scoring A-E, gap-analysis dei requisiti, schede di analisi AI illimitate), e non richiede carta di credito.

I piani partono da €149/mese (STARTER, annuale) fino a €289/mese (PRO, annuale, 3 utenti). Il PRO è il piano pensato per le PMI ICT che gestiscono 5-15 gare/anno: include la gap-analysis dei requisiti, il benchmark sui ribassi storici e il profilo delle stazioni appaltanti.

Un limite da dichiarare: Avvista copre la fase di scoperta, analisi e valutazione pre-bid. La compilazione automatica della documentazione di gara non è inclusa nei piani Avvista: è una funzionalità di Cato (get-cato.com), il prodotto dedicato alla preparazione documentale, disponibile su richiesta.

Inizia il trial gratuito di 7 giorni →

Per approfondire prima della prova, leggi la guida ai contratti SaaS con la PA.

Domande frequenti su SaaS e appalti pubblici

È obbligatoria la qualificazione ACN per vendere software SaaS alla PA?

Sì. Dal 2021, le PA hanno l'obbligo normativo di acquistare servizi cloud solo tra quelli qualificati da ACN e presenti nel Catalogo cloud PA. Un fornitore privo di qualificazione non può rispondere formalmente a gare che richiedono servizi cloud qualificati. Alcune gare sotto soglia con affidamento diretto possono fare eccezione, ma sono casi limitati. Consulta la guida alla qualificazione cloud PA per i dettagli del processo.

Come si inserisce un servizio SaaS nel catalogo cloud PA?

Il processo prevede: (1) presentazione della domanda di qualificazione ACN con documentazione tecnica completa, (2) istruttoria da parte di ACN (60-90 giorni), (3) inserimento del servizio qualificato nel Catalogo cloud PA con scheda tecnica e pricing. Parallelamente, il servizio può essere caricato su MePA nelle categorie ICT pertinenti. Vedi come caricare il tuo servizio sul MePA.

Un abbonamento mensile SaaS è compatibile con le regole degli appalti pubblici?

Sì, con condizioni. Il canone ricorrente è ammesso, ma il contratto deve avere durata definita (massimo 4 anni salvo eccezioni). Il rinnovo automatico indefinito è incompatibile con le norme PA. L'offerta economica deve permettere alla stazione appaltante di calcolare il valore totale del contratto al momento della gara. Leggi la guida ai contratti SaaS con la PA per la struttura contrattuale completa.

Quali CPV codes si usano per i servizi SaaS negli appalti?

I CPV principali per i servizi SaaS sono: 72000000 (Servizi informatici), 72200000 (Sviluppo e programmazione), 72600000 (Supporto informatico), 48000000 (Pacchetti software). Il CPV specifico dipende dalla funzione del software: un SaaS HR userà codici diversi da un SaaS per la gestione documentale. Verifica le categorie ICT su MePA per la mappatura CPV più precisa al tuo settore.

Le startup possono partecipare a gare per servizi cloud PA?

Sì, anche le startup possono partecipare, ma devono fare i conti con i requisiti di capacità economico-finanziaria (fatturato minimo degli ultimi 3 anni) che spesso escludono le aziende neocostituite. Le soluzioni pratiche: partecipare in RTI (Raggruppamento Temporaneo d'Imprese) con un partner strutturato, puntare su gare sotto soglia con requisiti più leggeri, o usare l'avvalimento per "prendere in prestito" i requisiti di un'altra impresa. La guida MePA per startup e nuove imprese approfondisce queste opzioni.

Aggiornato a giugno 2026.