Aggiungi Milano Finanza alle tue fonti preferite su Google per non perderti i nostri contenuti

Con la Comunicazione «Action Plan on Cybersecurity and Artificial Intelligence» del 7 luglio la Commissione Europea sancisce un passaggio strutturale: l'AI non è più solo una tecnologia da regolare ma un fattore strategico per la sicurezza economica, industriale e istituzionale dell'Unione. I modelli di frontiera, i più avanzati disponibili o in sviluppo, possono rafforzare preparazione, rilevazione delle minacce e risposta agli incidenti operando più rapidamente e su scala più ampia. Le capacità possono essere usate per finalità offensive, anche criminali, automatizzando attacchi complessi e riducendo competenze, tempo e risorse necessari. La capacità di valutare, governare e usare i modelli avanzati inciderà su resilienza e autonomia tecnologica europea.Il Piano si innesta su un quadro normativo articolato: l'AI Act regola i rischi di sistemi e modelli di AI, inclusi i rischi sistemici dei modelli per finalità generali avanzati; il Cyber Resilience Act impone sicurezza by design e gestione delle vulnerabilità per i prodotti con elementi digitali; Nis2 e Dora regolano il rischio cyber nei settori critici e finanziario; il Cyber Solidarity Act sostiene gli Stati membri nella risposta a incidenti su larga scala. La novità non è un nuovo quadro normativo ma misure operative per adattare gli strumenti esistenti all'evoluzione dell'AI.Il Piano si sviluppa su tre direttrici. La prima riguarda valutazione e accesso ai modelli avanzati. La Commissione vuole rafforzare le capacità europee di valutazione dei modelli prima del rilascio, oggi concentrate perlopiù fuori dall'Unione. Dal 2 agosto eserciterà i poteri di vigilanza ed enforcement dell'AI Act su sistemi e modelli per finalità generali, inclusi quelli con rischi sistemici cyber. Per il 2027 è previsto il sostegno a una capacità europea di valutazione dei modelli con competenze cyber, affiancata da un European Blueprint per l'accesso strutturato all'AI avanzata in cybersicurezza, per istituzioni europee, autorità nazionali, operatori di infrastrutture critiche, fornitori di cybersicurezza ed enti di ricerca. Il tema è anche industriale: se l'accesso ai modelli dipende da decisioni non trasparenti di fornitori extraeuropei, la resilienza rischia di diventare dipendenza tecnologica.La seconda direttrice è più operativa: applicare gli strumenti esistenti e adeguare la gestione del rischio alla rapidità degli attacchi supportati dall'AI. Operatori critici ed entità finanziarie devono rafforzare i presidi, aggiornare più rapidamente i sistemi e usare zero trust e strumenti di AI, anche open source, per individuare vulnerabilità e prevenire attacchi. Enisa pubblicherà linee guida e best practice su protezione dalle minacce potenziate dall'AI e integrazione sicura dell'AI nella cybersicurezza. La conformità richiede capacità operative reali, non solo un presidio documentale.Capitolo centrale è la gestione delle vulnerabilità: l'AI ne accelera l'individuazione, mentre analizzarle, priorizzarle e correggerle rischia di restare più lento. Il Piano adegua all'era dell'AI le infrastrutture europee di vulnerability management, tra cui lo European Union Vulnerability Database e la piattaforma di segnalazione del Cyber Resilience Act. Per il software open source nel 2026 partirà un pilota della Critical Open Source Resilience Campaign per accelerare la correzione delle vulnerabilità nei componenti critici coinvolgendo maintainer, Stati membri, istituzioni, industria e comunità open source, anche con strumenti di AI.La terza direttrice, legata alla sovranità tecnologica, punta a costruire capacità europee di AI applicata alla cybersicurezza. Richiama gli investimenti programmati tramite Horizon Europe e Digital Europe, circa 200 milioni di euro entro la fine dell'attuale QFP, oltre a European Innovation Council e Scaleup Europe Fund. È annunciata una EU Grand Challenge on AI-assisted vulnerability remediation, per sistemi di AI che assistano i team di cybersicurezza nell'intero ciclo di remediation. AI Factories e future Gigafactories dovrebbero contribuire a sviluppo, test e diffusione di modelli avanzati su infrastrutture di calcolo europee, mobilitando investimenti pubblici e privati su larga scala. Senza capacità di calcolo, modelli e dati propri l'Europa rischia di restare utilizzatrice vulnerabile di sistemi sviluppati altrove, con accesso potenzialmente limitato o interrotto.La novità più significativa sta su un piano più ampio: la Commissione riconosce che la regolazione da sola non basta. Alle regole si affiancano capacità di valutazione dei modelli, infrastrutture di testing, accesso alle frontier AI, capacità di calcolo, competenze pubbliche e strumenti comuni. L'Unione non abbandona il modello fondato sui diritti fondamentali ma vi affianca una politica di capacità istituzionale e tecnologica: la cybersicurezza diventa il terreno in cui tutela dei diritti, resilienza e autonomia tecnologica convergono.Oreste Pollicinoordinario di Diritto Costituzionalee Digital Regulationall'università BocconiRebecca Pupellaadvisor in AI governancee cybersicurezzaPollicino & Partners AIdvisory