La Commissione europea ha presentato il nuovo Piano d’azione su cybersecurity e intelligenza artificiale, una strategia pensata per affrontare i rischi introdotti dai modelli avanzati di IA e, allo stesso tempo, usare queste tecnologie per rafforzare la difesa informatica di imprese, pubbliche amministrazioni e infrastrutture critiche. Il documento è stato pubblicato il 7 luglio 2026 e aggiornato l’8 luglio sul portale “Shaping Europe’s digital future” della Commissione.
Il punto di partenza è chiaro: i modelli di IA più avanzati possono aiutare a individuare vulnerabilità, prevenire attacchi e proteggere sistemi essenziali, ma possono anche essere sfruttati da attori malevoli per automatizzare campagne offensive, aumentare la velocità degli incidenti e colpire su scala più ampia. Per Bruxelles, la risposta deve quindi unire valutazione dei rischi, accesso controllato ai modelli, test sicuri e sviluppo di capacità europee nel campo della cybersecurity.
Un piano costruito sul quadro normativo europeo
Il piano non nasce come iniziativa isolata, ma si inserisce nel quadro regolatorio già definito dall’Unione europea. La Commissione richiama in particolare AI Act, Cyber Resilience Act, Direttiva NIS2, DORA per il settore finanziario e Cyber Solidarity Act. L’obiettivo è coordinare Stati membri, industria, autorità pubbliche, ricercatori, comunità open source e organizzazioni europee in una risposta comune ai nuovi rischi legati all’IA.
L’AI Act è entrato in vigore il 1° agosto 2024 e sarà pienamente applicabile dal 2 agosto 2026, con alcune eccezioni previste dal calendario di attuazione. Per i modelli di intelligenza artificiale ad uso generale, le regole specifiche sono già entrate in applicazione dal 2 agosto 2025, con obblighi legati a trasparenza, documentazione, copyright e gestione dei rischi sistemici per i modelli più potenti.
Valutazione dei modelli avanzati di IA
Uno degli assi principali riguarda la valutazione dei modelli di IA prima dell’immissione sul mercato europeo. Secondo la Commissione, una sicurezza efficace richiede la capacità di capire come i nuovi sistemi possano essere usati, sfruttati o manipolati. Per questo Bruxelles lancerà un bando specifico per creare una capacità europea di valutazione, destinata a coprire anche la cybersecurity e prevista come operativa nel 2027.
Questa nuova struttura dovrà supportare la funzione regolatoria dell’AI Office e rafforzare la valutazione di terze parti sulle capacità e sui rischi dei modelli avanzati. Il tema è centrale anche per i fornitori di IA, perché l’AI Act prevede obblighi più stringenti per i modelli ad uso generale che possono generare rischi sistemici.
Accesso sicuro ai modelli più avanzati
Il piano affronta anche la questione dell’accesso ai modelli di IA più potenti da parte delle organizzazioni europee. La Commissione lavorerà con ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, per definire un Blueprint europeo dedicato all’accesso strutturato alle capacità avanzate di IA per finalità di sicurezza informatica.
L’obiettivo è fornire condizioni più chiare e trasparenti a soggetti pubblici e privati che intendono usare modelli avanzati per attività difensive. Il punto non riguarda solo la disponibilità tecnica degli strumenti, ma anche le regole per usarli in modo sicuro, verificabile e coerente con il quadro europeo.
Una piattaforma di test per i settori critici
ENISA e il Centro comune di ricerca della Commissione realizzeranno una piattaforma sicura per testare l’uso dell’IA nella cybersecurity, anche attraverso ambienti simulati. La piattaforma sarà destinata in particolare agli operatori di settori critici, tra cui energia, trasporti, sanità, finanza e pubblica amministrazione.
La Commissione punta così a creare un ambiente controllato nel quale le organizzazioni possano valutare l’efficacia delle soluzioni basate su IA senza esporre sistemi reali a rischi non necessari. In questo modo, l’adozione di strumenti avanzati può avvenire con una fase di prova più strutturata.
Vulnerabilità, open source e sicurezza by design
Il piano invita le organizzazioni a rafforzare le pratiche di igiene informatica, la gestione del rischio e i principi di security by design. La Commissione incoraggia anche l’uso dell’IA, compresi i modelli open source quando appropriato, per rilevare e correggere più rapidamente le vulnerabilità e migliorare la capacità di prevenzione e risposta agli attacchi.
In questo ambito rientra anche il ruolo del Cyber Resilience Act, che mira a rendere più sicuri i prodotti hardware e software con elementi digitali. Secondo la Commissione, il regolamento affronta il problema del livello insufficiente di sicurezza di molti prodotti e la carenza di aggiornamenti tempestivi. Il testo sarà pienamente applicabile dall’11 dicembre 2027.
ENISA avrà inoltre il compito di favorire la collaborazione tra autorità pubbliche, imprese e comunità open source. Il piano prevede linee guida, raccomandazioni, buone pratiche e una campagna dedicata alla sicurezza del software open source critico.
La “Grand Challenge” europea per la cybersecurity
Per rafforzare il mercato europeo, la Commissione lancerà una EU Grand Challenge on AI for cybersecurity, una competizione rivolta ad aziende, ricercatori e altri soggetti dell’ecosistema digitale. L’iniziativa servirà a sviluppare soluzioni di cybersecurity basate su IA e a sostenere competenze europee in un settore che sta assumendo peso strategico.
Il piano collega questa iniziativa agli investimenti nelle capacità sovrane europee di intelligenza artificiale, anche attraverso AI Factories e future Gigafactories. Bruxelles punta quindi a un doppio livello: difendere le infrastrutture esistenti e sviluppare tecnologie europee più solide per il futuro della sicurezza digitale.
Il contesto: l’IA come rischio e strumento di difesa
La vicepresidente esecutiva Henna Virkkunen ha indicato la necessità di adeguare la risposta europea al nuovo scenario, nel quale l’intelligenza artificiale modifica il significato stesso della cybersecurity. La Commissione sostiene che l’UE disponga già di basi solide, ma che serva concentrare capacità, reti e strumenti normativi per proteggere meglio il panorama digitale europeo.
Il piano arriva in una fase nella quale l’uso offensivo dell’IA è considerato un fattore di accelerazione del rischio cyber. Le minacce non riguardano solo la creazione di phishing più credibile o l’automazione delle campagne, ma anche la scoperta più rapida di vulnerabilità e la possibilità di moltiplicare il volume degli attacchi. Per questo la Commissione lega la regolazione dell’IA alla resilienza cyber di settori essenziali, prodotti digitali e infrastrutture critiche.




























Lascia un commento