Home · Blog

Cybersecurity

L'UE lancia il piano su AI e cybersicurezza: cosa cambia per le PMI

Il 7 luglio 2026 la Commissione europea ha presentato il suo piano d'azione su cibersicurezza e intelligenza artificiale. Il punto di partenza è una constatazione che chi lavora nel settore vede da mesi: gli stessi modelli che usiamo per automatizzare il lavoro stanno rendendo gli attacchi informatici più veloci, più credibili e molto più economici da lanciare. Nello stesso periodo il Rapporto Clusit ha certificato che l'Italia ha subito il 9,6% degli incidenti gravi mondiali. Il piano riguarda soprattutto istituzioni e settori critici, ma qualcosa dice anche a un'azienda da venti persone.

Cosa ha annunciato la Commissione

Il piano d'azione su cibersicurezza e intelligenza artificiale della Commissione europea (digital-strategy.ec.europa.eu) si regge su tre direzioni di lavoro: promuovere un uso sicuro dei modelli avanzati, rafforzare la resilienza informatica dell'Unione, far crescere le capacità europee di AI applicata alla sicurezza.

Tradotto in misure concrete, la Commissione vuole valutare i modelli più potenti prima che arrivino sul mercato europeo, incluse le loro capacità offensive in ambito cyber. Insieme all'agenzia europea per la cibersicurezza ENISA (enisa.europa.eu) nascerà un blueprint per l'accesso sicuro ai sistemi AI avanzati a fini di sicurezza, con una piattaforma di test riservata alle organizzazioni dei settori critici. Arriverà poi una EU Grand Challenge che mette in competizione imprese e centri di ricerca sullo sviluppo di soluzioni di sicurezza basate sull'AI, mentre gli investimenti sulle AI Factories proseguono sul fronte della sovranità tecnologica.

Il piano non introduce obblighi nuovi. Si appoggia alle regole che già esistono: AI Act, direttiva NIS2, Cyber Resilience Act e DORA per il settore finanziario. Questo è il punto che interessa a un imprenditore: le scadenze da rispettare restano quelle già scritte, il piano dice come l'Europa intende farle funzionare.

Perché arriva adesso

I numeri del Rapporto Clusit sulla sicurezza ICT in Italia (clusit.it) spiegano la fretta meglio di qualunque comunicato. Nel 2025 gli incidenti gravi nel mondo sono stati 5.265, quasi il 49% in più rispetto all'anno prima. L'Italia da sola ne ha assorbiti il 9,6%, con una crescita del 42%. Il phishing è tornato a essere la porta d'ingresso principale delle violazioni aziendali.

L'AI generativa c'entra parecchio. Un'email di phishing scritta male, con errori di grammatica e formule improbabili, era il segnale che permetteva a un dipendente attento di fermarsi. Oggi quel segnale non c'è più: il testo è pulito, contestualizzato, scritto nel tono giusto e con i riferimenti giusti. La stessa cosa vale per le telefonate, dove la clonazione vocale è alla portata di chiunque abbia trenta secondi di audio pubblico dell'amministratore delegato.

Il risultato è che il costo di un attacco credibile è crollato, mentre le difese di molte PMI sono rimaste quelle di cinque anni fa.

Cosa può fare concretamente una PMI

Nessuna azienda di venti persone parteciperà a una Grand Challenge europea. Ma il ragionamento che c'è dietro il piano si applica in scala, e sono cose che si fanno in poche settimane:

Il legame con l'AI Act

Il piano della Commissione si appoggia alle regole esistenti anche per una ragione pratica: il lavoro di conformità e quello di sicurezza usano in buona parte le stesse informazioni. Un sistema AI che rispetta l'AI Act è un sistema di cui sapete cosa fa, con quali dati e sotto la supervisione di chi. Sono esattamente le informazioni che vi servono quando dovete capire in fretta se un incidente vi ha toccati e in che misura.

Le scadenze restano quelle di cui abbiamo parlato quando è uscito il pacchetto di semplificazione: l'Omnibus, la proroga al 2027 e le regole più leggere per le PMI. E gli obblighi di trasparenza sui contenuti generati, che diventano operativi ad agosto, li abbiamo raccontati nell'articolo su etichettatura dei contenuti AI e watermarking. Se volete una verifica rapida della vostra posizione, la nostra checklist AI Act serve esattamente a questo.

La lettura di Latentia

La scelta di fondo che l'Europa ha fatto è valutare i modelli prima che arrivino sul mercato, invece di rincorrere gli incidenti dopo. Per un'azienda italiana la traduzione pratica è meno drammatica di quanto il tema faccia pensare. Non servono investimenti straordinari. Serve smettere di trattare l'adozione dell'AI e la sicurezza come due progetti scollegati, gestiti da persone che non si parlano.

È lo stesso motivo per cui, come abbiamo scritto parlando dei progetti AI che non arrivano mai a produrre risultati, la parte difficile non è quasi mai il modello, ma quello che gli sta intorno: i dati che legge, i processi in cui lo si inserisce e il perimetro dentro cui lo si fa lavorare.

Volete capire dove siete esposti?

Mappiamo gli strumenti AI già in uso nella vostra azienda, i dati che toccano e gli obblighi che vi riguardano. Un'analisi concreta, senza allarmismi. Risposta entro 24 ore.

Richiedi la valutazione gratuita

Articoli correlati

← Tutti gli articoli