Budget IT 2022 per PMI italiane: come pianificare voci, KPI e ROI a fine 2021

A dicembre, mentre il 2021 chiude un anno di assestamento post-pandemia, i CFO e i responsabili IT delle PMI italiane si trovano di fronte a una domanda che fino a tre anni fa avrebbe avuto risposte molto piu prevedibili: come si costruisce un budget IT 2022 che tenga insieme la spinta del PNRR, gli incentivi della Transizione 4.0, una superficie d’attacco cybersecurity ormai esplosa (l’eco di Log4Shell di queste settimane fara sentire i suoi effetti sui bilanci 2022) e uno smart working che da emergenza e diventato architettura organizzativa stabile?

Lavorando con decine di PMI italiane vediamo emergere una tendenza chiara: il 2022 non sara un anno di “rinnovo del budget IT”, ma di ricostruzione delle voci. Cambia la proporzione tra CAPEX e OPEX (perche il SaaS divora le immobilizzazioni), entra una voce cybersecurity che era marginale fino al 2019, e la formazione torna a pesare in modo significativo per via del turnover legato alla cosiddetta Great Resignation. Gartner stima un incremento globale della spesa IT 2022 vicino al +6% rispetto al 2021, ma la media nasconde polarizzazioni forti: chi pianifica bene puo ottenere ROI a doppia cifra, chi continua a ragionare per “spesa storica” rischia di pagare due volte.

Questa guida raccoglie il framework che usiamo internamente per costruire un budget IT 2022 difendibile davanti al board: voci, percentuali di benchmark, KPI di misurazione, vincoli normativi e leve di credito d’imposta. Non e un esercizio accademico — sono le voci che vediamo realmente nei piani 2022 dei nostri clienti.

1. Perche il budget IT 2022 e strutturalmente diverso da quello del 2020

Il budget IT 2020 era ancora costruito attorno a una logica “ufficio + datacenter + qualche servizio cloud accessorio”. Il 2021 ha mandato in soffitta questo schema: lo smart working stabilizzato ha spostato il perimetro di sicurezza fuori dalle mura aziendali, l’esplosione del SaaS ha trasformato voci CAPEX in OPEX, e la pressione normativa (GDPR + linee guida AgID + raccomandazioni ENISA) ha reso non rinviabile l’investimento in compliance e governance dei dati.

A fine 2021 si aggiungono tre elementi nuovi che impatteranno il bilancio 2022:

• Cybersecurity in escalation: ransomware diffusi nei comparti manifatturiero e sanitario, attacchi alla supply chain (SolarWinds, Kaseya), e la vulnerabilita Log4Shell appena resa pubblica a dicembre. Le PMI italiane stanno scoprendo che la copertura assicurativa cyber e diventata cara e selettiva: senza un livello minimo di controlli, alcuni assicuratori non sottoscrivono piu polizze.
• Cloud-first piu maturo: AWS, Azure e GCP hanno completato l’apertura di region italiane o europee, riducendo il vincolo di residenza dei dati. Il calcolo TCO cloud vs on-premise — che nel 2018 era ancora dibattuto — nel 2022 pende quasi sempre dal lato cloud per workload variabili.
• PNRR + Transizione 4.0: il Piano Nazionale di Ripresa e Resilienza, approvato dal Consiglio UE nel luglio 2021, mette in pista risorse importanti per digitalizzazione e cybersecurity delle imprese. Insieme al credito d’imposta beni strumentali 4.0 (rinnovato e potenziato), questi strumenti riducono il TCO effettivo in modo significativo. Non integrarli nel budgeting 2022 e un errore strategico.

2. CAPEX vs OPEX: la riclassificazione che cambia tutto

La prima decisione strutturale del budget 2022 e la riclassificazione delle voci tra spesa in conto capitale (CAPEX, capitalizzata e ammortizzata) e spesa operativa (OPEX, integralmente a conto economico). Fino a pochi anni fa la regola era semplice: hardware = CAPEX, manutenzione e canoni = OPEX. Oggi non funziona piu cosi.

Il SaaS e per definizione OPEX, e nel 2022 la quota SaaS sul totale software si avvicina al 60-70% nelle PMI che hanno completato la migrazione cloud. Questo significa che a parita di fabbisogno funzionale, la struttura del bilancio si modifica: il conto economico assorbe canoni mensili crescenti, lo stato patrimoniale alleggerisce le immobilizzazioni materiali. Per il CFO ha implicazioni di cassa, di valutazione bancaria (rapporto debito/PN) e di pianificazione fiscale.

Una regola pratica che adottiamo: in budget 2022 chiediamo sempre una doppia colonna di classificazione. Ogni voce viene categorizzata sia in termini di CAPEX/OPEX (per il bilancio) sia in termini di “core/non core” (per la priorita di taglio in caso di revisione). La voce SaaS produttivita (Microsoft 365, Google Workspace) e OPEX core; un upgrade hardware desktop non urgente e CAPEX non core. Questa doppia tassonomia aiuta a difendere il budget davanti al board quando arriva la richiesta di taglio orizzontale.

3. Le otto macro-voci tipiche del budget IT PMI 2022

Quando smontiamo un budget IT di una PMI italiana, i 30-50 capitoli analitici si riconducono quasi sempre a otto macro-voci. Le presentiamo nell’ordine in cui le pesiamo nel budgeting bottom-up.

3.1 Hardware refresh e device end-user

Ciclo di vita medio dei laptop business: 4 anni. Una PMI con 60 dipendenti dovrebbe sostituire 15 macchine all’anno (un quarto del parco). Per il 2022 si aggiunge la voce “kit smart working stabile”: cuffie noise-cancelling, webcam, monitor secondario per i ruoli ibridi. Budget tipico: 800-1.200 euro a postazione per il refresh, 200-400 euro per il kit smart working aggiuntivo. Voce eligibile a credito d’imposta beni strumentali ordinari (aliquota ridotta rispetto al 4.0, ma cumulabile).

3.2 Software e licenze SaaS

La voce piu inflattiva del 2022. Tra Microsoft 365, gestionale ERP/CRM, suite design/marketing, strumenti collaborazione (Slack, Teams), tool DevOps e licenze verticali, il canone medio per dipendente nelle PMI italiane si attesta intorno a 40-80 euro/mese. Attenzione al fenomeno della “SaaS sprawl”: e frequente trovare il 15-25% di licenze non utilizzate o sovrapposte. Un license audit a fine 2021 e un investimento che si ripaga in poche settimane.

3.3 Cybersecurity

La voce che cresce di piu nel 2022. Include: EDR/XDR (endpoint detection), MFA aziendale, password manager, gestione patch, vulnerability assessment annuale, formazione phishing, polizza cyber. La percentuale di budget IT dedicata alla cybersecurity dovrebbe arrivare al 10-12% (era 6-7% nei piani 2020). L’effetto di Log4Shell — emerso a dicembre 2021 — fara probabilmente alzare ulteriormente questo livello nelle PMI a forte componente Java.

3.4 Cloud e infrastrutture

Comprende canoni IaaS/PaaS (AWS, Azure, GCP), licenze sistema operativo server, costi di rete cloud, storage. Per le PMI che hanno completato la migrazione, il canone medio si attesta tra 300 e 1.500 euro/mese per workload critico. Voce difficile da pianificare per la sua natura variabile: serve impostare alert e budget cap per evitare sforamenti.

3.5 Networking e connettivita

Fibra dedicata, SD-WAN per le sedi multiple, VPN per i remote worker, apparati di rete (firewall di nuova generazione, access point WiFi 6). La quota smart working richiede di rivedere anche il dimensionamento della banda aziendale: con meta delle persone in remoto, il traffico interno cala ma quello verso cloud cresce in modo non proporzionale.

3.6 Backup e Disaster Recovery

Voce storicamente sottostimata. Nel 2022 deve includere: backup 3-2-1 con copia immutabile (anti-ransomware), test di restore documentati almeno semestrali, DR cloud per i sistemi mission-critical, piano di continuita operativa scritto. Budget tipico: 3-6% del budget IT. Il KPI di riferimento e il RPO (Recovery Point Objective) e il RTO (Recovery Time Objective) per ogni sistema critico.

3.7 Formazione

Voce che torna a crescere nel 2022 per due ragioni: alfabetizzazione cybersecurity (training phishing, gestione password) e turnover legato alla Great Resignation. Budget medio: 200-500 euro per dipendente IT/anno, 50-100 euro per dipendente non-IT (formazione awareness). Il voucher Innovation Manager puo coprire una quota significativa di consulenza formativa per le PMI eligibili.

3.8 Consulenza esterna

Audit IT, DPO esterno, system integrator, consulenza per pratiche credito d’imposta, supporto sistemistico in modalita “fractional CTO”. Mediamente 5-10% del budget IT. E la voce piu flessibile, ed e anche la prima a venire compressa quando arriva una richiesta di riduzione: occhio a non tagliarla in modo cieco perche spesso e quella che abilita il resto.

4. Benchmark percentuale sul fatturato: dove si colloca la tua PMI

Una domanda che riceviamo spesso e: “qual e la quota di fatturato corretta da destinare all’IT?”. La risposta dipende dal modello di business, ma esistono range di riferimento che usiamo come punto di partenza nelle conversazioni con il management.

• PMI manifatturiera tradizionale (no e-commerce, no digital product): 1-2,5% del fatturato. Sotto l’1% si sotto-investe quasi sicuramente; sopra il 2,5% serve verificare l’efficienza della spesa.
• PMI servizi B2B (consulenza, professional services): 2-4%. Pesano molto le licenze produttivita e i tool verticali.
• PMI retail con e-commerce significativo: 3-6%. La piattaforma e-commerce, il marketing tech stack e i pagamenti pesano molto.
• PMI digital-first (SaaS, piattaforme, software house): 5-10% e oltre. L’IT non e un costo di funzionamento ma il prodotto stesso.

Per il 2022 ci aspettiamo che tutte queste forbici si spostino verso l’alto di circa 0,5 punti percentuali, trainate dalla voce cybersecurity e dai canoni SaaS. Una PMI manifatturiera che nel 2020 spendeva l’1,5% del fatturato nel 2022 dovrebbe pianificare un 2%, salvo eccezioni di modello.

5. Bottom-up vs top-down: il metodo che ha senso usare

I due approcci di budgeting hanno logiche opposte. Il top-down parte da una percentuale di fatturato (o dal budget anno precedente +/- X%) e la distribuisce sulle voci. E rapido, ma rischia di consolidare inefficienze storiche e non aggancia bene le voci emergenti come la cybersecurity 2022.

Il bottom-up ricostruisce ogni voce a partire dai driver fisici: numero di dipendenti, di postazioni, di sedi, di sistemi mission-critical, di clienti serviti. E piu laborioso ma produce un budget difendibile e aggiornato.

Il nostro consiglio operativo per il 2022: bottom-up sulle voci nuove o in crescita (cybersecurity, cloud, formazione), top-down con verifica di anomalie sulle voci consolidate (hardware refresh, networking di base). Questo ibrido limita lo sforzo e mantiene la qualita della pianificazione dove serve davvero.

6. KPI da misurare: oltre il costo per dipendente

Un budget IT senza KPI di controllo e un libro mastro, non uno strumento di gestione. Le metriche che chiediamo di tracciare ai nostri clienti nel 2022 sono cinque, organizzate su tre dimensioni: efficienza, rischio e impatto sul business.

• TCO per workload critico (Total Cost of Ownership). Somma di licenze, infrastruttura, manutenzione, personale dedicato e formazione su un orizzonte triennale. E il KPI di confronto cloud vs on-premise e make vs buy. Va misurato a granularita di sistema, non globale.
• ROI degli investimenti discrezionali. Per ogni progetto non obbligatorio (es. nuovo CRM, automazione di processo) si calcola payback period e ROI a 24/36 mesi. Sotto i 24 mesi di payback la proposta passa quasi sempre; sopra i 36 mesi serve un business case rinforzato.
• Mean Time To Recover (MTTR) sui sistemi mission-critical. Tempo medio per ripristinare un servizio dopo un incidente. KPI principe della resilienza: nei budget 2022 deve avere un target esplicito e una voce di spesa associata (test DR, monitoraggio, runbook).
• Quota di budget cybersecurity sul totale IT. Come visto sopra, target minimo 10-12% per il 2022. Sotto questo livello la PMI e probabilmente esposta.
• Tasso di utilizzo licenze SaaS. Numero di licenze attivamente usate / numero di licenze pagate. Sotto l’80% c’e uno spreco strutturale che giustifica un license audit immediato.

7. Come ottenere l’approvazione dal board: il business case che funziona

Anche il budget IT 2022 piu solido tecnicamente puo essere bocciato da un board che non vede il legame con gli obiettivi di business. La nostra esperienza dice che i business case approvati hanno tre caratteristiche comuni.

Primo: ogni voce di spesa rilevante e associata a un obiettivo aziendale dichiarato. La voce cybersecurity non si difende dicendo “perche bisogna farlo”, ma legandola a continuita operativa, protezione del fatturato e copertura assicurativa. La voce SaaS produttivita si lega all’obiettivo di smart working stabile e riduzione metri quadri di ufficio.

Secondo: il business case mostra almeno tre scenari (base, prudente, ambizioso) con costi e benefici attesi diversi. Un board che ha solo “prendere o lasciare” tende a lasciare; un board che sceglie tra alternative entra nel merito.

Terzo: esistono milestone di verifica trimestrali con KPI misurabili. Il budget non viene approvato per 12 mesi al buio ma con una clausola implicita di revisione. Questo rassicura i board prudenti senza bloccare la pianificazione.

8. PNRR e Transizione 4.0: gli strumenti che non puoi ignorare

Il quadro degli incentivi per la digitalizzazione delle PMI italiane nel 2022 e piu generoso che negli anni precedenti, ma anche piu articolato. I principali strumenti da integrare nel budget sono tre.

Credito d’imposta beni strumentali 4.0. Confermato e rimodulato dalla Legge di Bilancio. Per i beni materiali 4.0 le aliquote variano per scaglione di investimento; per i beni immateriali (software, licenze, cloud computing) e prevista un’aliquota dedicata. Importante per il 2022: il credito d’imposta per software e cloud puo arrivare al 20% e include canoni SaaS pluriennali se rispondono ai requisiti 4.0 (interconnessione, integrazione).

Voucher Innovation Manager. Strumento gestito dal MISE per coprire i costi di consulenza specialistica in trasformazione digitale. Particolarmente utile per le PMI che non hanno una funzione IT strutturata internamente e si appoggiano a consulenti esterni. La contribuzione copre una quota significativa del costo della consulenza, fino a un massimale dipendente dalla dimensione aziendale.

PNRR — Missione 1 e Missione 4. Il Piano Nazionale di Ripresa e Resilienza prevede risorse importanti per digitalizzazione PA, banda ultralarga, competenze digitali e cybersecurity. Le PMI beneficiano in modo diretto (bandi specifici) e indiretto (digitalizzazione della filiera, della PA fornitrice). Da monitorare con attenzione i bandi che il MITD e gli altri soggetti attuatori pubblicheranno nel corso del 2022.

Una raccomandazione operativa: nel budget 2022 il TCO netto delle voci eligibili va calcolato al netto del beneficio fiscale atteso. Non integrare gli incentivi sottostima i benefici economici e puo portare a rinunciare a investimenti che invece sarebbero remunerativi.

9. Voci nuove emergenti: cosa includere che fino a ieri non c’era

Il budget 2022 vede l’ingresso (o il consolidamento) di voci che nel 2019-2020 erano residuali. Tre meritano attenzione esplicita.

Disaster Recovery as a Service (DRaaS). Il DR su cloud terzo permette di avere replica continua e attivazione rapida senza dover mantenere un secondo sito fisico. Costo tipico: 5-15% del costo della produzione. Voce che nelle PMI mid-market diventa pressoche obbligatoria nel 2022 per via dei requisiti assicurativi e contrattuali (catene di fornitura).

Zero Trust Network Access (ZTNA). Lo smart working stabile rende il modello VPN tradizionale inadeguato. ZTNA — accesso verificato per applicazione e identita anziche per rete — entra nei budget 2022 anche di realta medio-piccole, spesso come componente di una strategia SASE piu ampia.

Cyber insurance. La polizza assicurativa cyber, voce contabilmente non IT ma decisa insieme al CISO, va coordinata con il budget IT perche i premi 2022 dipendono dai controlli implementati. Una PMI che investe in EDR, MFA e backup immutabile paga premi piu bassi.

10. Reporting trimestrale e controllo di gestione

Un budget IT annuale senza reporting infra-annuale e una scatola chiusa. Il modello che proponiamo prevede tre livelli di reporting.

• Mensile — operativo: consuntivo vs budget per voce, scostamenti significativi (oltre +/-10%), forecast a fine anno aggiornato.
• Trimestrale — gestionale: revisione KPI (TCO, ROI dei progetti chiusi, MTTR registrati), aggiornamento roadmap progetti, segnalazione rischi emergenti.
• Semestrale — strategico: presentazione al board, eventuale ri-pianificazione del semestre successivo, allineamento con piano industriale.

Le PMI che adottano questo schema riducono in modo significativo gli sforamenti di fine anno e migliorano la capacita di reagire a eventi imprevisti — che nel 2022 non mancheranno, considerando il livello di volatilita cyber e di prezzi tecnologici emerso nel 2021.

11. Roadmap del processo di budgeting: timeline consigliata

Il budget IT 2022 si costruisce idealmente in 8-10 settimane, distribuite tra ottobre e dicembre 2021. Una timeline realistica per le PMI che partono adesso (fine dicembre) e questa:

• Settimana 1: raccolta dati storici, license audit, mappa sistemi e contratti in essere.
• Settimana 2: intervista alle business unit per raccogliere fabbisogni 2022 (progetti, evoluzioni, fabbisogni di assunzioni).
• Settimana 3: costruzione bottom-up delle voci nuove (cybersecurity, cloud, DR), top-down delle voci consolidate.
• Settimana 4: calcolo TCO, identificazione incentivi applicabili, primo draft di budget.
• Settimana 5: business case progetti discrezionali, KPI di controllo, scenari alternativi.
• Settimana 6: revisione con CFO e direzione generale, taratura.
• Settimana 7: presentazione al board, approvazione.
• Settimana 8: comunicazione interna, attivazione del sistema di reporting.

Per chi parte tardi (gennaio 2022) e possibile comprimere a 4-5 settimane su un budget di prima approssimazione con revisione formale entro Q1. Non e l’ideale, ma meglio di un anno senza budget strutturato.

Approccio operativo: il framework Brentasoft per il budget IT 2022

Quando affianchiamo una PMI nella costruzione del budget IT 2022, il nostro framework segue cinque step operativi che riportiamo qui in formato HowTo. L’obiettivo e produrre un documento di budget approvabile dal board e operativo dal primo gennaio.

1. Discovery e mappa esistente. Inventario sistemi, contratti, licenze, asset hardware, fornitori. Identificazione dei gap rispetto a standard di settore (cybersecurity in primis).
2. Raccolta fabbisogni. Interviste con responsabili di funzione, mappa progetti 2022, fabbisogni di evoluzione applicativa e di crescita organica.
3. Costruzione voci. Bottom-up sulle voci nuove ed in crescita, top-down sulle voci consolidate con verifica di anomalie. Doppia classificazione CAPEX/OPEX e core/non-core.
4. Calcolo TCO netto e incentivi. TCO triennale per workload, identificazione voci eligibili a credito d’imposta e voucher, calcolo del beneficio fiscale atteso.
5. Business case e governance. Costruzione scenari (base, prudente, ambizioso), definizione KPI di controllo, definizione cadenza di reporting al board.

Domande frequenti sul budget IT 2022 per PMI

Qual e la percentuale di fatturato giusta da destinare all’IT nel 2022?
Per le PMI manifatturiere tradizionali il range di riferimento e 1,5-2,5% del fatturato; per i servizi B2B 2-4%; per il retail con e-commerce 3-6%; per le digital-first 5-10% e oltre. Nel 2022 questi range si spostano verso l’alto di circa 0,5 punti rispetto al 2020 per via di cybersecurity e canoni SaaS in crescita.

Quanto deve pesare la voce cybersecurity sul budget IT 2022?
Almeno il 10-12% del budget IT totale, contro il 6-7% dei budget 2020. La spinta arriva da ransomware diffusi, requisiti assicurativi piu stringenti, e — molto recente — vulnerabilita come Log4Shell che richiederanno investimenti in detection e patch management nel corso del 2022.

Conviene pianificare in CAPEX o OPEX?
Dipende dalla situazione finanziaria della PMI e dalla natura della voce. Il SaaS e OPEX per definizione e nel 2022 sara la quota dominante del software. La regola pratica e usare una doppia classificazione (CAPEX/OPEX + core/non-core) per ogni voce, in modo da poter difendere le scelte davanti a CFO e board.

Quali incentivi devo considerare nel budget 2022?
Tre strumenti principali: credito d’imposta beni strumentali 4.0 (esteso e potenziato per beni materiali e immateriali, con aliquote dedicate al software e al cloud), voucher Innovation Manager (per la consulenza specialistica), bandi PNRR su Missione 1 e Missione 4 (digitalizzazione, competenze, cybersecurity). Il TCO netto delle voci eligibili va calcolato includendo il beneficio fiscale atteso.

Come si misura il ROI di un investimento IT?
I KPI principali sono payback period (tempo di recupero dell’investimento), ROI a 24/36 mesi, TCO triennale. Per i progetti discrezionali un payback sotto 24 mesi e generalmente approvabile, tra 24 e 36 mesi serve un business case piu strutturato, sopra 36 mesi va valutata con attenzione la strategicita.

Top-down o bottom-up: quale metodo conviene?
L’approccio ibrido funziona meglio: bottom-up sulle voci nuove o in crescita (cybersecurity, cloud, formazione), top-down sulle voci consolidate (hardware refresh, networking base) con verifica di anomalie. Questo limita lo sforzo e mantiene la qualita dove serve.

Cosa devo cambiare rispetto al budget 2021?
Tre cambiamenti strutturali: peso maggiore della cybersecurity (target 10-12%), riclassificazione delle voci software verso OPEX (SaaS), introduzione di voci nuove come DRaaS e ZTNA. A questo si aggiunge la formalizzazione del calcolo TCO netto incentivi e la definizione di KPI di controllo trimestrali.