Qualifica ACN QC1: come certificare il tuo Software per la PA

Indice dei contenuti

L’importanza della certificazione ACN nel 2026

Per le aziende IT, le software house e i System Integrator, la Pubblica Amministrazione rappresenta uno dei mercati più strategici in Italia. Tuttavia, approcciarsi al mondo del cloud computing richiede oggi il superamento di rigidi controlli di sicurezza. Non è più sufficiente garantire un’architettura stabile: è obbligatorio dimostrare la conformità ai requisiti nazionali.

Per operare in questo settore, è obbligatorio ottenere la certificazione ACN e i relativi standard di qualifica (in particolare la qualifica ACN QC1). Questo standard è diventato il vero e proprio lasciapassare commerciale. Vediamo nel dettaglio quali sono i requisiti di conformità cloud e come adeguare la propria infrastruttura per non rimanere esclusi dai bandi.

ACN Linee Guida Cloud: cos'è cambiato per le PA

Fino a poco tempo fa, il mercato cloud per la Pubblica Amministrazione era regolato da AgID (Agenzia per l’Italia Digitale). Con le recenti riforme strategiche, l’intero dominio della sicurezza e della conformità cloud è passato sotto la giurisdizione dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Le nuove linee guida cloud dettate da questo ente stabiliscono criteri stringenti per tutelare i dati dei cittadini e delle istituzioni. L’obiettivo dell’Agenzia è chiaro: innalzare la resilienza cibernetica del Paese, assicurandosi che la qualificazione cloud PA venga rilasciata esclusivamente a provider e fornitori in grado di garantire standard di livello enterprise, dalla crittografia alla gestione degli accessi.

I livelli di qualificazione dei servizi cloud (QC1, QC2, QC3)

Molti sviluppatori si chiedono: secondo il regolamento, quanti sono i livelli di qualificazione dei servizi cloud? L’Agenzia ha diviso la qualifica in tre livelli, basati sulla criticità dei dati trattati:

  • Qualifica QC1: è il livello di riferimento per la stragrande maggioranza dei servizi aziendali. Questo standard si applica ai dati e ai servizi “ordinari”, la cui compromissione non provocherebbe danni sistemici allo Stato, ma che richiedono comunque protezioni rigorose.
  • Qualifica QC2 e QC3: sono livelli riservati a dati critici e strategici (es. sanità, sicurezza nazionale o dati coperti da segreto).

Come ottenere la qualificazione Cloud ACN per infrastrutture e Software SaaS

La qualifica cloud ACN non riguarda solo i grandi fornitori di infrastrutture (IaaS) o piattaforme (PaaS), ma impatta direttamente le aziende che sviluppano gestionali, app e servizi “Software as a Service”.

Oggi, i software SaaS qualificati ACN sono gli unici che possono essere regolarmente acquistati e adottati dagli enti pubblici tramite il catalogo ufficiale. Ottenere questa qualifica significa dover dimostrare che il proprio software sia ospitato su un’architettura (come Amazon AWS) che risponda ai principi di Security by Design e che isoli correttamente i tenant dei vari clienti.

Requisiti tecnici e ISO 27001 per il cloud della PA

Ottenere la qualificazione QC1 non è una semplice formalità burocratica, ma richiede un profondo adeguamento tecnico e documentale. L’ACN valuta l’infrastruttura basandosi su framework di sicurezza internazionali consolidati.

Tra i requisiti fondanti richiesti dalle direttive, il possesso della certificazione ISO 27001 (Sistemi di Gestione della Sicurezza delle Informazioni) gioca un ruolo centrale, spesso affiancata dalle estensioni ISO 27017 (controlli di sicurezza per il cloud) e ISO 27018 (protezione dei dati personali in cloud).

Inoltre, il fornitore deve garantire:

  • Modelli chiari di responsabilità condivisa (in linea con le direttive della Cloud Security Alliance – CSA).
  • Procedure di Incident Response e disaster recovery testate.
  • Sovranità del dato (i dati devono risiedere all’interno dello Spazio Economico Europeo).

Le sanzioni per le inadempienze sono severissime. Cosa succede a un contratto stipulato da una PA se al fornitore viene revocata la qualificazione cloud? L’appalto decade immediatamente, causando danni enormi in termini di fatturato e reputazione alla Software House.

Preparare l'infrastruttura AWS all'audit ACN con Sinerbit

Raggiungere e mantenere la conformità per la qualificazione QC1 richiede competenze specialistiche. Non basta scegliere un public cloud affidabile: è necessario configurarlo seguendo pedissequamente le linee guida dell’Agenzia.

In Sinerbit supportiamo i CTO e le Software House nel percorso tecnico di adeguamento. In qualità di esperti, progettiamo e blindiamo la tua infrastruttura su Amazon AWS, garantendo che sia nativamente predisposta per superare l’audit e ottenere la qualifica QC1 in tempi rapidi.

Devi qualificare il tuo software per la Pubblica Amministrazione?