Quando si parla di regolamenti per la cybersicurezza applicata alle tecnologie emergenti, l’Unione Europea non parte certo da zero. Il quadro normativo costruito negli ultimi anni copre già, da angolazioni diverse, i rischi che l’AI porta con sé. Ripercorriamo il contesto: la legge sull’AI obbliga a valutare e mitigare i rischi derivanti dai modelli e con il codice di buone pratiche sull’AI per finalità generali (Gpai-General-Purpose AI Code of Practice) si precisano i requisiti e si agevola la conformità dei fornitori di modelli avanzati. Queste disposizioni entreranno nella fase più piena della loro applicazione dal 2 agosto 2026 mentre sappiamo già che la legge sulla resilienza cyber, sarà invece applicabile entro la fine del 2027 ed impone la sicurezza fin dalla progettazione per i prodotti hardware e software
Il perimetro si estende ancora con la direttiva sui sistemi informativi e di rete (Nis2), già ampiamente commentata da Inno3 e pensata per irrobustire settori critici come i trasporti e l’energia, e con la legge sulla resilienza operativa digitale (Dora) per il comparto finanziario. A completamento della rassegna merita una segnalazione anche il quadro del regolamento sulla cybersolidarietà, che potenzia la capacità dell’Unione di individuare minacce e attacchi su vasta scala, prepararsi e rispondere.
Un’impalcatura giuridica – quella già disponibile – considerata adeguata, dunque, ma che ora chiede di essere messa a sistema di fronte a una tecnologia che corre più veloce delle sue regole. È esattamente ciò che prova a fare il piano d’azione sulla cybersicurezza e l’intelligenza artificiale presentato dalla Commissione Europea il 7 luglio 2026. Non un nuovo regolamento, ma una risposta strutturata che, poggiando sul quadro giuridico esistente, punta a coordinare Stati membri, imprese e autorità pubbliche nell’affrontare i rischi e nel cogliere le opportunità dei modelli avanzati di AI per la sicurezza informatica.
Perché un piano d’azione
Il presupposto da cui muove Bruxelles è la natura ambivalente della tecnologia. L’intelligenza artificiale sta rapidamente trasformando il panorama della cybersicurezza: può aiutare a individuare vulnerabilità, prevenire attacchi informatici e rafforzare la protezione delle infrastrutture critiche. Le stesse capacità, però, possono essere sfruttate da attori malevoli per automatizzare gli attacchi, identificare i punti deboli dei sistemi e condurre operazioni ostili a una velocità e su una scala senza precedenti.

Il rischio, in altri termini, non nasce da un difetto della tecnologia ma dalla sua stessa “potenza”: gli strumenti che consentono a un difensore di scovare una falla consentono a un attaccante di trovarla prima.
Un’asimmetria che la vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia, Henna Virkkunen, traduce in un imperativo di velocità: “L’AI sta trasformando il significato della cybersecurity. E dobbiamo tenere il passo”. L’Unione, sottolinea, dispone di “solide basi per adattare la sua risposta di fronte alle vulnerabilità che la tecnologia emergente comporta”, e la strada da percorrere passa dalla messa a fattor comune di ciò che già esiste: “Dobbiamo sfruttare e concentrare le capacità, le reti e il quadro giuridico esistenti per rafforzare la cybersicurezza proteggendo il nostro panorama digitale”.
Gli obiettivi
L’Action Plan si articola attorno a tre obiettivi: promuovere un uso sicuro e responsabile dell’AI avanzata; rafforzare la cybersicurezza e la resilienza dell’Unione; far crescere le capacità europee di intelligenza artificiale applicate alla sicurezza informatica. Una ripartizione che riflette la logica dell’intero documento: presidiare i rischi a monte, consolidare le difese esistenti e, insieme, costruire capacità industriale autonoma sul versante difensivo.
Sul primo fronte, la Commissione intende rafforzare la capacità europea di valutare i modelli di AI prima della loro immissione sul mercato dell’Unione, in coerenza con quanto già previsto dall’AI Act . È il punto in cui il piano si salda direttamente alla normativa: la valutazione preventiva dei modelli più avanzati, comprese le loro capacità in ambito cyber, diventa lo strumento con cui anticipare l’uso improprio anziché inseguirlo. In parallelo, l’esecutivo comunitario lavorerà con l’Agenzia dell’Unione Europea per la cybersicurezza (Enisa) alla definizione di un blueprint europeo per un accesso sicuro ai sistemi di AI avanzati a fini di cybersicurezza: linee di indirizzo destinate alle organizzazioni pubbliche e private che intendano servirsi di questi modelli per difendersi .
A completare l’impianto arriverà una piattaforma sicura di test, che consentirà alle organizzazioni dei settori critici — energia, trasporti, sanità, finanza e pubblica amministrazione — di sperimentare e implementare soluzioni di AI in condizioni controllate. È una risposta pragmatica a un problema concreto: chi gestisce un’infrastruttura essenziale difficilmente può permettersi di sperimentare tecnologie non collaudate direttamente in produzione.
Il secondo obiettivo guarda al rafforzamento della cybersicurezza dell’Unione e passa, prima di tutto, dall’attuazione della legislazione già in vigore: la direttiva Nis2 e la legge sulla cyber-resilienza in primo luogo. Ma il piano compie anche un passo ulteriore, incoraggiare le organizzazioni a impiegare l’AI — inclusi, dove appropriato, i modelli open source — per individuare e correggere più rapidamente le vulnerabilità e per migliorare la propria capacità di prevenire gli attacchi e rispondervi. È il riconoscimento che la difesa non può restare a un livello tecnologico inferiore rispetto all’offesa: se l’AI accelera la scoperta delle falle da parte degli attaccanti, deve accelerare anche la loro chiusura.
Il terzo pilastro riguarda la capacità industriale del continente. Per rafforzare la leadership tecnologica europea, la Commissione lancerà una EU Grand Challenge sull’AI per la cybersicurezza, una competizione che riunirà imprese, ricercatori e altri portatori di interesse attorno allo sviluppo di soluzioni innovative di sicurezza informatica basate sull’intelligenza artificiale. L’Unione, inoltre, continuerà a investire in capacità di AI sovrane, facendo leva su iniziative come le AI Factories e le future Gigafactories, e incoraggiando l’investimento privato per portare a scala le tecnologie europee.
Ancora regole?
Il piano, precisa la Commissione, integra e non sostituisce il quadro giuridico esistente e punta a mettere attorno allo stesso tavolo istituzioni europee, Stati membri, industria, ricercatori, comunità open source e partner internazionali. L’obiettivo dichiarato è duplice: consentire all’Europa di cogliere i benefici dell’AI restando al tempo stesso resiliente di fronte alle minacce emergenti. La scommessa, in fondo, è di metodo prima ancora che di merito. Bruxelles non risponde all’accelerazione dell’AI con l’ennesimo regolamento, ma con il tentativo di far funzionare insieme strumenti giuridici già scritti, capacità di valutazione ancora da costruire e un tessuto industriale che deve crescere in fretta. Se il calendario normativo è tracciato — la legge sull’AI dal 2 agosto 2026, la cyber-resilienza entro fine 2027 — resta da verificare la capacità dell’Unione di dotarsi, nello stesso arco di tempo, delle competenze tecniche necessarie a valutare davvero i modelli più avanzati prima che arrivino sul mercato.
© RIPRODUZIONE RISERVATA









































