Un firewall industriale acquistato per proteggere una linea robotizzata può valere il 180% di maggiorazione fiscale o nulla. La differenza si decide su tre filtri da definire prima della firma del contratto: la conformità a uno standard tecnico, il doppio requisito di interconnessione e destinazione funzionale ai sensi dell'Allegato IV, la struttura giuridica dell'acquisto come cespite e non come servizio.
La riscrittura del perimetro dei beni 4.0 ai sensi della Legge 30 dicembre 2025, n. 199 (Legge di bilancio 2026) qualifica per la prima volta in modo esplicito gli apparati hardware di cybersecurity OT come beni agevolabili, con una sezione dedicata del nuovo Allegato IV. L'ammissibilità non è però automatica: vale la pena ricostruire i tre filtri uno per uno.
Si ricorda che le aliquote operano per scaglioni; secondo l'interpretazione prevalente — in attesa di chiarimenti puntuali sulla regola dei tre periodi d'imposta richiamata dal decreto attuativo MIMIT-MEF (in attesa della firma di concerto del MEF, della registrazione alla Corte dei Conti e della pubblicazione in Gazzetta Ufficiale) — il plafond si calcola sull'ammontare degli investimenti effettuati in ciascun anno solare: la maggiorazione del 180% si applica fino a 2,5 milioni di euro di investimenti annui; per importi superiori scende al 100% (2,5-10 mln) e al 50% (10-20 mln).
Una nuova voce dell'iperammortamento 2026: il Gruppo IV.3 dell'Allegato IV
Fino al 31 dicembre 2025, sotto il credito d'imposta Transizione 4.0 ex art. 1, commi 1051-1067, della Legge 30 dicembre 2020, n. 178 (Legge di bilancio 2021), l'Allegato B annesso alla Legge 11 dicembre 2016, n. 232 (Legge di bilancio 2017) — richiamato anche dalla disciplina del credito 4.0 — già includeva una voce dedicata al software di cybersecurity. Il quadro hardware restava invece controverso: non esisteva una voce dedicata, e la qualificazione si appoggiava per analogia ad altre voci dell'Allegato A. La Legge 30 dicembre 2025, n. 199 (art. 1, commi 427-436) ha sostituito il vecchio impianto con il nuovo regime dell'iperammortamento, rinviando per il perimetro tecnico al nuovo Allegato IV. È in quest'ultimo che compare per la prima volta una sezione esplicitamente dedicata alla cybersecurity OT.
Il Gruppo IV, sezione 3 — «Infrastrutture di sicurezza informatica OT/IT» — qualifica espressamente come beni agevolabili tre famiglie di hardware. La prima riunisce appliance e sistemi per la cybersecurity industriale: firewall industriali, IDS e IPS per reti OT, dispositivi conformi allo standard IEC 62443. La seconda copre i sistemi hardware per la protezione degli endpoint industriali. La terza riguarda le infrastrutture per backup, disaster recovery e continuità operativa. Tre categorie distinte, ciascuna con una funzione tecnica precisa nell'architettura di sicurezza di uno stabilimento.
Sul versante immateriale il disegno si completa con l'Allegato V, lettera u), che agevola i software di cybersecurity per la protezione di reti, dati, programmi, macchine e impianti. Il perimetro funzionale è ampio e include il monitoraggio continuo, l'observability, le piattaforme di detection and response — la famiglia SIEM, SOAR, XDR, EDR — e la gestione del ciclo di vita dei dispositivi connessi.
La conseguenza pratica di questa nuova architettura è netta: un firewall industriale conforme IEC 62443 installato a protezione di una linea produttiva non è più un'infrastruttura IT generica da far rientrare a fatica in altre voci, ma un cespite del Gruppo IV.3 con una sua collocazione autonoma. Per il confronto puntuale con la struttura dei vecchi Allegati A e B rimandiamo all'analisi sulle differenze tra i nuovi e i vecchi elenchi 4.0; il resto di questo articolo si concentra sulle condizioni operative che trasformano questa nuova voce in un'agevolazione effettivamente fruibile.
La clausola di doppio requisito: interconnessione e destinazione funzionale
L'inclusione nel Gruppo IV.3 non basta. La norma costruisce l'ammissibilità su una clausola a due gambe: un bene di questa categoria è agevolabile se, e solo se, risulta interconnesso ai sistemi informativi aziendali e, contemporaneamente, è funzionalmente destinato a una di tre finalità tassative — l'esecuzione di un software dell'Allegato V, il supporto operativo di beni dei Gruppi I, II o III, oppure l'interconnessione tra beni del Gruppo IV e beni dell'Allegato V. Mancando uno dei due piedi, il cespite cade.
Conviene chiarire subito un equivoco frequente. Le cinque caratteristiche obbligatorie più due su tre per l'integrazione cyberfisica previste dall'Allegato A della L. 232/2016 (oggi riprodotte nell'Allegato IV della L. 199/2025) e interpretate dalla Circolare AdE 4/E del 30 marzo 2017 — il celebre «5+2» — riguardano i beni del Gruppo I, ovvero le macchine controllate da CNC o PLC. Non si applicano alla cybersecurity OT. Per un firewall industriale o per un sistema IDS del Gruppo IV non rilevano controllo numerico, interfaccia uomo-macchina o integrazione con il sistema logistico di fabbrica: contano solo i due elementi richiesti dalla legge, l'interconnessione e la destinazione funzionale.
Sul primo elemento la nozione utile resta quella tracciata dalla Circolare 4/E e applicabile per analogia: un bene è interconnesso quando scambia informazioni in modo bidirezionale con sistemi interni o esterni attraverso un protocollo standard documentato ed è identificato univocamente tramite indirizzo IP. Tradotto sul campo, per un firewall industriale significa due flussi concreti e dimostrabili. In uscita, l'invio di log e telemetria — ad esempio syslog verso un SIEM aziendale, NetFlow o IPFIX verso le piattaforme di analisi del traffico. In entrata, la ricezione di policy, signature e aggiornamenti firmware da un sistema di gestione centralizzato, sia esso un NMS o la console del vendor. Lo stesso schema vale, con i protocolli del caso, per un IDS o per un endpoint protection industriale.
Sul secondo elemento la legge è tassativa nelle finalità ammesse, e qui si gioca la qualificazione del singolo investimento. Tre soli legami funzionali soddisfano il requisito: il dispositivo ospita o esegue un software dell'Allegato V, ad esempio una piattaforma SIEM o EDR per ambienti industriali; oppure presidia operativamente uno o più beni dei Gruppi I, II o III, come accade quando un firewall segmenta la cella robotizzata o protegge i PLC di una linea di assemblaggio; oppure ancora costituisce l'anello di interconnessione tra beni del Gruppo IV e beni dell'Allegato V — il caso, ad esempio, di un'appliance che mette in comunicazione l'infrastruttura di backup con il software di lifecycle management dei dispositivi connessi.
La conseguenza operativa è una sola, e va presidiata fin dalla fase di progetto. Per ogni bene del Gruppo IV.3 che si intende portare a iperammortamento occorre poter dichiarare, e successivamente documentare, a quale software dell'Allegato V o a quali specifici cespiti dei Gruppi I, II o III il dispositivo è funzionalmente legato. Non si tratta di un esercizio formale a posteriori: la scelta del fornitore, la topologia di rete, l'architettura di logging e l'integrazione con i sistemi di gestione vanno disegnate da subito per sostanziare quel legame. Un firewall acquistato come prodotto a scaffale, collegato in modo generico al perimetro aziendale e privo di un aggancio dimostrabile a un bene Allegato V o a una macchina dei Gruppi I-III, soddisfa al più il requisito di interconnessione ma fallisce quello di destinazione, e con esso la maggiorazione del 180%.
Il marker IEC 62443: cosa entra nel perimetro e cosa resta fuori
Il discrimine tra un investimento agevolabile al 180% e una spesa da ammortizzare in via ordinaria passa, per la cybersecurity OT, da un riferimento tecnico molto preciso: lo standard IEC 62443. La legge lo richiama esplicitamente nell'Allegato IV, Gruppo IV.3, quando elenca firewall industriali e sistemi IDS/IPS per reti OT come beni della categoria. Non è una citazione decorativa. È il marker tecnico-normativo che separa l'apparato pensato per un ambiente industriale — con la sua logica di zone e conduit, la segmentazione dei livelli ISA-95, la gestione dei protocolli di automazione — da un dispositivo di rete generico destinato a un ufficio.
L'altra faccia dello stesso confine è scritta nelle esclusioni espresse dell'Allegato IV. Restano fuori dal perimetro i personal computer, i notebook, i tablet, i dispositivi di produttività individuale, le stampanti, gli scanner e le periferiche per ufficio. Restano fuori gli apparati di rete domestici o SOHO. Resta fuori lo storage non integrato con i processi operativi. Restano fuori, in via generale, tutti i beni destinati ad attività amministrative, contabili e di office automation. L'elenco non lascia margini interpretativi: la destinazione office è incompatibile con l'agevolazione, a prescindere dal contesto in cui il dispositivo viene fisicamente collocato.
La conseguenza decisionale è netta e va incorporata nella scelta del fornitore prima ancora che in quella del consulente. Un firewall consumer o di fascia SOHO non diventa un bene del Gruppo IV.3 per il fatto di essere installato nel quadro elettrico vicino al CNC; un NAS d'ufficio non si trasforma in infrastruttura di backup industriale perché ospita anche le copie dei programmi macchina. La collocazione fisica nella cella OT, da sola, non qualifica nulla: a qualificare è la natura dell'apparato.
Sul piano probatorio, questo si traduce in una perizia tecnica che deve documentare entrambi i piani. Da un lato la natura industriale del dispositivo: la conformità IEC 62443 dichiarata dal costruttore, le caratteristiche prestazionali coerenti con un ambiente OT — throughput, latenza, gestione delle ACL, supporto nativo dei protocolli industriali — e la funzione di sicurezza svolta. Dall'altro la collocazione architetturale: lo schema di rete con la definizione delle zone e dei conduit ai sensi dello standard, l'identificazione dei segmenti OT presidiati, il punto esatto di installazione nella topologia di stabilimento. Senza questi due livelli documentali in parallelo, il rischio in sede di controllo è la riqualificazione del bene tra le esclusioni espresse dell'Allegato IV.
Un'ultima precisazione, a evitare sovrapposizioni di categoria. Le infrastrutture di connettività industriale — reti 5G private, Wi-Fi enterprise di classe Wi-Fi 6, 6E e 7, sincronizzazione TSN/PTP, dorsali OPC UA, MQTT, Modbus su fibra ottica per la convergenza IT-OT — non appartengono al Gruppo IV.3 ma al Gruppo IV.2. Sono ammissibili come «cella di rete» a corredo di un progetto di cybersecurity industriale e contribuiscono a dare coerenza architetturale all'investimento, ma seguono una propria voce di Allegato e meritano una trattazione dedicata.
Bene strumentale, non servizio: come strutturare contratto e fattura
L'iperammortamento è un beneficio sui cespiti. Premessa banale, ma decisiva: la maggiorazione del 180% si applica al costo di acquisizione di un bene capitalizzato che genera quote di ammortamento nel tempo, non al canone di un servizio consumato anno per anno. Tradotto nel mondo della cybersecurity OT, significa che la stessa funzione di protezione può essere agevolabile o non agevolabile a seconda di come viene acquistata e contabilizzata.
Il discrimine si vede meglio con due architetture a confronto. Da un lato l'acquisto di un firewall industriale conforme IEC 62443 con la relativa licenza firmware e il modulo di management, di un'appliance IDS con matricola e numero di serie, di un server dedicato al backup industriale, di una piattaforma SIEM acquisita come licenza perpetua o pluriennale identificabile per chiave hardware o serial number: in tutti questi casi si entra a libro cespiti, si individua il bene, si calcola la quota di ammortamento e si applica la maggiorazione. Dall'altro un contratto SOC o MDR continuativo in cui un fornitore eroga monitoraggio H24, gestione delle policy, risposta agli incidenti e patching, fatturando un canone mensile o annuale: la voce di costo è un servizio, non un cespite, non si capitalizza e fuoriesce dal perimetro dell'agevolazione. Lo stesso meccanismo che esclude i canoni SaaS dei software in cloud opera, sul versante hardware, per i servizi gestiti di sicurezza.
Da qui un'avvertenza sulle letture commerciali che qualche fornitore propone, presentando il SOC a canone come se fosse una «licenza pluriennale unitaria» da capitalizzare e iperammortizzare. Allo stato, una prassi MIMIT o dell'Agenzia delle Entrate che avalli espressamente questa equiparazione non risulta. Trattarla come una «via alternativa» al bene strumentale espone l'investimento al rischio concreto di riqualificazione in sede di controllo, con recupero della maggiorazione e applicazione di sanzioni. La linea prudente è opposta: scorporare già nell'offerta e in fattura la componente bene — appliance, server, licenze ancorate a un dispositivo identificabile — dalla componente servizio gestito, e portare a iperammortamento solo la prima.
Un punto va chiarito per evitare confusione, perché tocca proprio il software embedded. Il principio tracciato dalle FAQ MISE del 16 ottobre 2017, applicabile per analogia al nuovo quadro, è che il software acquistato insieme al bene materiale e necessario al suo funzionamento è agevolabile come parte del bene principale, ne segue l'aliquota e si capitalizza con esso. Vale per il firmware del firewall industriale, per il sistema operativo dell'appliance IDS, per il modulo di management bundle integrato nell'apparato e venduto contestualmente. Non vale, invece, per i canoni di gestione esterni: il fatto che un servizio SOC interagisca con quello stesso firewall non lo trasforma in software embedded del firewall.
Tutto questo va deciso a monte, non a valle. Il progetto va strutturato come acquisto e non come servizio: il contratto deve identificare con precisione un asset capitalizzabile — modello, matricola, numero di serie, licenze legate al dispositivo — e la fattura deve isolare in modo distinto la voce agevolabile dalle eventuali prestazioni accessorie. Una formulazione contrattuale che impacchetta tutto in un canone unico, anche quando al suo interno c'è dell'hardware, rende molto più fragile la difesa in sede di controllo. Scegliere il fornitore e disegnare il contratto con questa logica è parte integrante della qualificazione del bene, tanto quanto la conformità IEC 62443 e la clausola di doppio requisito.
La perizia per il Gruppo IV.3: il presidio documentale
Per gli investimenti del Gruppo IV.3, la perizia tecnica asseverata è il documento che lega insieme tutti gli elementi visti finora: conformità IEC 62443, doppio requisito di interconnessione e destinazione funzionale, qualificazione come bene strumentale. In base al decreto attuativo MIMIT-MEF (cfr. sopra), la perizia tecnica asseverata sarebbe obbligatoria per tutti gli investimenti negli Allegati IV e V — quindi anche per quelli del Gruppo IV.3 — a prescindere dall'importo, senza la possibilità di sostituzione con dichiarazione del legale rappresentante che la bozza precedente del decreto attuativo (datata 5 gennaio 2026) prevedeva per beni di costo unitario non superiore a 300.000 euro e che la versione attuale del testo firmato dal MIMIT ha eliminato. La soglia, peraltro, è diversa da quella del regime iperammortamento storico 2017-2019 (500.000 euro, art. 1, comma 11, della Legge 11 dicembre 2016, n. 232). I contenuti della perizia tecnica asseverata — analisi tecnica, requisiti del professionista, elementi minimi documentali — sono comuni a tutti i beni degli Allegati IV e V e sono trattati nella guida dedicata alla perizia per l'iperammortamento 2026.
Tre filtri da progettare insieme
L'apertura del nuovo perimetro dei beni 4.0 ai sensi della L. 199/2025 alla cybersecurity OT è una novità sostanziale del nuovo Allegato IV, ma non si traduce automaticamente in un'agevolazione fruibile. I tre filtri — marker IEC 62443, doppio requisito di interconnessione e destinazione, struttura come cespite e non come servizio — operano in parallelo: superarne due e fallire il terzo significa perdere la maggiorazione tanto quanto fallirli tutti. La differenza la fa il momento in cui ci si pone le domande. Affrontarli a valle, quando il contratto è firmato e la fattura è emessa, riduce i margini a esercizi di documentazione difensiva. Affrontarli a monte — nella scelta del fornitore, nel disegno della topologia di rete, nella formulazione contrattuale — è ciò che separa un progetto di sicurezza industriale da un progetto di sicurezza industriale agevolato al 180%.