Cybersecurity e Ai, Bruxelles presenta il piano Ue contro le nuove minacce digitali

La Commissione punta su valutazione dei modelli avanzati, accesso sicuro alle capacità AI, piattaforme di test e investimenti europei per rafforzare la resilienza cyber
1 ora fa
6 minuti di lettura
Commissione europea
Commissione Europea, immagine di archivio (Canva)

La Commissione europea ha presentato il nuovo piano d’azione su cybersicurezza e intelligenza artificiale, una strategia pensata per affrontare la doppia faccia dei modelli avanzati di AI: strumenti sempre più potenti per individuare vulnerabilità e difendere infrastrutture critiche, ma anche leve che possono essere usate da attori malevoli per automatizzare attacchi, aumentarne la velocità e colpire su scala più ampia.

Il documento, “Action Plan on Cybersecurity and Artificial Intelligence”, adottato oggi a Strasburgo, si inserisce nel quadro già costruito dall’Ue con AI Act, Cyber Resilience Act, direttiva NIS2, Digital Operational Resilience Act per il settore finanziario e Cyber Solidarity Act. L’obiettivo non è introdurre subito un nuovo regolamento, ma coordinare strumenti, competenze e investimenti per preparare Stati membri, imprese e amministrazioni pubbliche a un panorama cyber in cui l’AI diventa insieme scudo e arma.

La Commissione parte da una constatazione semplice: l’AI non è più solo un alleato dei difensori, ma anche un moltiplicatore di rischio nelle mani degli attaccanti. I modelli più avanzati possono aiutare i team di sicurezza a individuare falle nei sistemi, migliorare la rilevazione delle minacce e accelerare la risposta agli incidenti. Le stesse capacità, però, possono abbassare la soglia tecnica degli attacchi e rendere più rapide, automatizzate e scalabili operazioni che fino a poco tempo fa richiedevano competenze elevate.

Per Bruxelles, la risposta deve quindi essere strutturata e non solo difensiva. Il piano ruota attorno a tre obiettivi:

  1. promuovere un uso sicuro e responsabile dell’AI avanzata;
  2. rafforzare la sicurezza informativa e la resilienza cyber dell’Unione;
  3. far crescere le capacità europee di intelligenza artificiale applicate alla cybersicurezza.

È una strategia di sicurezza, ma anche di sovranità tecnologica: l’Ue vuole usare i modelli più potenti per proteggersi, evitando nuove dipendenze da capacità sviluppate o controllate fuori dall’Europa.

Valutare i modelli avanzati prima del mercato Ue

Il primo fronte è la valutazione dei modelli di AI più avanzati, soprattutto quelli di uso generale e di frontiera. La Commissione parte dall’AI Act, che impone ai fornitori dei modelli più potenti di valutare e mitigare i rischi sistemici, compresi quelli legati al possibile uso improprio nel dominio cyber. Dal 2 agosto 2026 Bruxelles eserciterà i poteri di supervisione ed enforcement previsti dalla legge sull’AI per verificare il rispetto di questi obblighi.

Il piano prevede però un passo ulteriore: costruire una capacità europea di valutazione dei modelli AI, con una componente specifica sulla cybersicurezza. La Commissione lancerà un invito dedicato per istituirla e renderla operativa nel 2027. L’obiettivo è creare in Europa un ecosistema credibile di valutatori terzi, capace di testare i modelli avanzati, individuare i rischi e verificare se le misure di mitigazione adottate dai fornitori siano adeguate.

Il punto è anche geopolitico. Oggi molte delle competenze e delle infrastrutture più avanzate per valutare i modelli frontier si trovano fuori dall’Ue. Per la Commissione, spostare almeno una parte di questa capacità in Europa è urgente, perché le valutazioni pre-rilascio stanno diventando essenziali per gestire tecnologie ad alto rischio: non solo per capire quanto un modello sia potente, ma anche se possa essere usato per scoprire vulnerabilità, generare codice malevolo, automatizzare attacchi o aggirare misure di sicurezza.

Accesso e test

Accanto alla valutazione, il piano affronta il tema dell’accesso ai modelli più avanzati. Le capacità AI più potenti, comprese quelle utili per la cybersicurezza, sono spesso concentrate in pochi sistemi sviluppati fuori dall’Europa. I fornitori possono limitarne l’uso per ragioni di sicurezza, ma queste decisioni dipendono spesso da criteri poco trasparenti e da processi esterni all’Ue. Per Bruxelles, il rischio è creare una nuova dipendenza strategica.

Per questo la Commissione lavorerà con l’Agenzia dell’Ue per la cybersicurezza, Enisa, a un quadro europeo per l’accesso strutturato alle capacità AI avanzate per finalità di cybersecurity, atteso entro il quarto trimestre 2026. Non introdurrà nuovi obblighi per i fornitori, ma dovrà fissare criteri, procedure e condizioni di sicurezza per consentire a soggetti europei qualificati di accedere ai modelli in modo sicuro e tempestivo. Dovrà anche indicare cosa fare se l’accesso a un modello rilevante viene limitato o ritirato da un provider o da un’autorità di un Paese terzo.

Il piano prevede inoltre una piattaforma sicura per testare l’AI nella cybersicurezza. Enisa e il Centro comune di ricerca della Commissione dovranno svilupparla entro il quarto trimestre 2026. Servirà a provare l’uso dell’intelligenza artificiale in attività come analisi delle vulnerabilità, correzione delle falle, risposta agli incidenti, intelligence sulle minacce e rilevamento degli attacchi.

Il piano prevede anche l’uso di ambienti di simulazione cyber, nei quali testare l’AI su reti e infrastrutture digitali riprodotte in modo sicuro, senza mettere a rischio i sistemi reali. L’obiettivo è permettere a operatori critici e autorità pubbliche di capire come queste tecnologie funzionano in scenari realistici prima di usarle in ambienti sensibili, dalla sanità all’energia, dai trasporti alla finanza e alla pubblica amministrazione.

Preparare l’ecosistema cyber europeo

Il secondo pilastro del piano guarda alla preparazione dell’ecosistema cyber europeo. Qui la Commissione parte da un problema molto concreto: l’AI può accelerare la scoperta delle vulnerabilità e ridurre tempo, competenze e risorse necessarie per sfruttarle. Se gli attaccanti riescono a trovare e usare le falle più rapidamente, anche difensori, imprese e amministrazioni devono aumentare la velocità con cui analizzano, ordinano per priorità e correggono i problemi.

Il piano richiama le regole già esistenti, in particolare NIS2 e DORA, come base per la gestione dei rischi nei settori critici e finanziari. Gli Stati membri sono invitati ad applicare queste norme con urgenza, mentre gli operatori critici dovranno aggiornare i propri sistemi di gestione del rischio alla realtà degli attacchi potenziati dall’AI. La parola chiave è ridurre il tempo necessario per applicare correzioni e aggiornamenti ai sistemi vulnerabili.

La Commissione insiste anche sull’igiene informatica di base: rafforzamento delle reti e dei sistemi, approcci zero trust dove appropriato, sicurezza fin dalla progettazione, gestione sistematica delle vulnerabilità, sviluppo di software più sicuro e pratiche di programmazione capaci di eliminare intere classi di falle. L’AI, in questa cornice, non è una scorciatoia che sostituisce i fondamentali della cybersicurezza, ma uno strumento per renderli più rapidi ed efficaci.

Un capitolo specifico è dedicato al software open source, molto diffuso anche nei codici usati da infrastrutture critiche. Commissione, Enisa, Stati membri e comunità open source lanceranno nel quarto trimestre 2026 una prima campagna per la resilienza del software open source critico. L’obiettivo è accelerare la mappatura dei componenti più importanti, sostenere i manutentori, favorire partenariati con soggetti pubblici e privati e usare anche strumenti AI per rendere più rapide le correzioni.

Il punto è ridurre il rischio alla fonte. Molti settori critici dipendono da componenti software open source ampiamente condivisi: se una falla resta aperta, può propagarsi lungo catene di fornitura diverse. La campagna servirà a individuare i componenti più sensibili, sostenere i manutentori e usare anche l’AI per accelerare l’analisi e la correzione delle vulnerabilità.

Grand Challenge, investimenti e competenze

Il terzo pilastro guarda alla capacità industriale europea. Bruxelles lancerà una “EU Grand Challenge” sull’AI per la cybersicurezza, con il supporto del Centro europeo di competenza per la cibersicurezza e in cooperazione con Enisa. Il concorso riunirà imprese, ricercatori, operatori di infrastrutture critiche e comunità open source per sviluppare soluzioni basate sull’intelligenza artificiale, con un focus particolare sulla correzione assistita delle vulnerabilità.

La Commissione individua qui uno squilibrio strutturale: la scoperta automatizzata delle vulnerabilità corre più veloce della capacità di correggerle. Se l’AI aiuta gli attaccanti a individuare falle su larga scala, deve aiutare anche i difensori a chiuderle più rapidamente.

Il piano collega questa ambizione alle AI Factories, alle future Gigafactories e alla proposta di Cloud and AI Development Act, che dovrebbe rafforzare capacità di calcolo, cloud e autonomia AI dell’Europa. Bruxelles richiama anche gli investimenti già attivati tramite Horizon Europe, Digital Europe e il Consiglio europeo per l’innovazione, inclusi fondi per startup e scaleup deep tech in ambiti cyber, AI, difesa e tecnologie strategiche.

Per la Commissione, rafforzare le capacità europee non è solo una questione industriale. In un settore in cui i modelli più avanzati possono avere anche usi sensibili o dual use, dipendere da tecnologie sviluppate altrove può diventare un problema di sicurezza. Da qui il richiamo a capacità di calcolo, modelli e infrastrutture dati europee, da sostenere anche con investimenti privati.

C’è poi il capitolo competenze. L’integrazione dell’AI nella cybersicurezza rischia di aggravare il divario già esistente di professionisti cyber. Per questo Bruxelles userà la Cybersecurity Skills Academy per sviluppare moduli formativi dedicati all’uso dell’AI nella cybersecurity. Enisa aggiornerà inoltre il quadro europeo delle competenze in cybersicurezza, integrando competenze legate all’intelligenza artificiale nei profili già esistenti e definendone di nuovi dove necessario.

Infine, il piano guarda alla cooperazione internazionale. Le implicazioni cyber dell’AI sono globali: modelli, catene di fornitura software e comunità open source attraversano confini e giurisdizioni. La Commissione vuole lavorare con partner affini, dal G7 all’Onu, e rafforzare il dialogo con Paesi partner, sviluppatori di modelli frontier e Nato.

“L’AI sta trasformando il significato della cybersecurity. E dobbiamo tenere il passo”, ha dichiarato la vicepresidente esecutiva Henna Virkkunen, sottolineando che l’Ue dispone già di “solide basi” per adattare la propria risposta alle vulnerabilità delle tecnologie emergenti e rafforzare la protezione dello spazio digitale europeo.

La sfida ora sarà trasformare il piano in strumenti operativi: valutazioni credibili, accesso sicuro ai modelli, test condivisi, investimenti e competenze. Solo allora l’AI potrà diventare per l’Europa non un fattore aggiuntivo di vulnerabilità, ma una risorsa concreta per rafforzare la cybersicurezza.