L'UE lancia il piano su AI e cybersicurezza: cosa cambia per le PMI
Il 7 luglio 2026 la Commissione europea ha presentato il suo piano d'azione su cibersicurezza e intelligenza artificiale. Il punto di partenza è una constatazione che chi lavora nel settore vede da mesi: gli stessi modelli che usiamo per automatizzare il lavoro stanno rendendo gli attacchi informatici più veloci, più credibili e molto più economici da lanciare. Nello stesso periodo il Rapporto Clusit ha certificato che l'Italia ha subito il 9,6% degli incidenti gravi mondiali. Il piano riguarda soprattutto istituzioni e settori critici, ma qualcosa dice anche a un'azienda da venti persone.
Cosa ha annunciato la Commissione
Il piano d'azione su cibersicurezza e intelligenza artificiale della Commissione europea (digital-strategy.ec.europa.eu) si regge su tre direzioni di lavoro: promuovere un uso sicuro dei modelli avanzati, rafforzare la resilienza informatica dell'Unione, far crescere le capacità europee di AI applicata alla sicurezza.
Tradotto in misure concrete, la Commissione vuole valutare i modelli più potenti prima che arrivino sul mercato europeo, incluse le loro capacità offensive in ambito cyber. Insieme all'agenzia europea per la cibersicurezza ENISA (enisa.europa.eu) nascerà un blueprint per l'accesso sicuro ai sistemi AI avanzati a fini di sicurezza, con una piattaforma di test riservata alle organizzazioni dei settori critici. Arriverà poi una EU Grand Challenge che mette in competizione imprese e centri di ricerca sullo sviluppo di soluzioni di sicurezza basate sull'AI, mentre gli investimenti sulle AI Factories proseguono sul fronte della sovranità tecnologica.
Il piano non introduce obblighi nuovi. Si appoggia alle regole che già esistono: AI Act, direttiva NIS2, Cyber Resilience Act e DORA per il settore finanziario. Questo è il punto che interessa a un imprenditore: le scadenze da rispettare restano quelle già scritte, il piano dice come l'Europa intende farle funzionare.
Perché arriva adesso
I numeri del Rapporto Clusit sulla sicurezza ICT in Italia (clusit.it) spiegano la fretta meglio di qualunque comunicato. Nel 2025 gli incidenti gravi nel mondo sono stati 5.265, quasi il 49% in più rispetto all'anno prima. L'Italia da sola ne ha assorbiti il 9,6%, con una crescita del 42%. Il phishing è tornato a essere la porta d'ingresso principale delle violazioni aziendali.
L'AI generativa c'entra parecchio. Un'email di phishing scritta male, con errori di grammatica e formule improbabili, era il segnale che permetteva a un dipendente attento di fermarsi. Oggi quel segnale non c'è più: il testo è pulito, contestualizzato, scritto nel tono giusto e con i riferimenti giusti. La stessa cosa vale per le telefonate, dove la clonazione vocale è alla portata di chiunque abbia trenta secondi di audio pubblico dell'amministratore delegato.
Il risultato è che il costo di un attacco credibile è crollato, mentre le difese di molte PMI sono rimaste quelle di cinque anni fa.
Cosa può fare concretamente una PMI
Nessuna azienda di venti persone parteciperà a una Grand Challenge europea. Ma il ragionamento che c'è dietro il piano si applica in scala, e sono cose che si fanno in poche settimane:
- Rimettere in discussione le verifiche che si basano sulla voce o sul testo. Se un bonifico si autorizza perché "ha telefonato il direttore", quel processo oggi è vulnerabile. Serve un secondo canale di conferma, anche banale, per le operazioni sopra una certa soglia.
- Sapere quali strumenti AI girano già in azienda. Nella maggior parte dei casi qualcuno ha già incollato documenti riservati dentro un chatbot pubblico, senza cattive intenzioni. Una mappatura onesta è il primo passo, ed è anche quello che l'AI Act chiede a chi usa questi sistemi.
- Tenere i dati sensibili dove si controllano. Non tutti i casi d'uso richiedono di mandare informazioni fuori dall'azienda. Su questo abbiamo scritto come i Small Language Models permettono di far girare l'AI on-premise, con i dati che non lasciano mai i vostri server.
- Formare le persone sulle truffe di oggi, non su quelle del 2020. Mezz'ora di esempi reali di deepfake vocali vale più di un corso da otto ore sulle password complesse.
Il legame con l'AI Act
Il piano della Commissione si appoggia alle regole esistenti anche per una ragione pratica: il lavoro di conformità e quello di sicurezza usano in buona parte le stesse informazioni. Un sistema AI che rispetta l'AI Act è un sistema di cui sapete cosa fa, con quali dati e sotto la supervisione di chi. Sono esattamente le informazioni che vi servono quando dovete capire in fretta se un incidente vi ha toccati e in che misura.
Le scadenze restano quelle di cui abbiamo parlato quando è uscito il pacchetto di semplificazione: l'Omnibus, la proroga al 2027 e le regole più leggere per le PMI. E gli obblighi di trasparenza sui contenuti generati, che diventano operativi ad agosto, li abbiamo raccontati nell'articolo su etichettatura dei contenuti AI e watermarking. Se volete una verifica rapida della vostra posizione, la nostra checklist AI Act serve esattamente a questo.
La lettura di Latentia
La scelta di fondo che l'Europa ha fatto è valutare i modelli prima che arrivino sul mercato, invece di rincorrere gli incidenti dopo. Per un'azienda italiana la traduzione pratica è meno drammatica di quanto il tema faccia pensare. Non servono investimenti straordinari. Serve smettere di trattare l'adozione dell'AI e la sicurezza come due progetti scollegati, gestiti da persone che non si parlano.
È lo stesso motivo per cui, come abbiamo scritto parlando dei progetti AI che non arrivano mai a produrre risultati, la parte difficile non è quasi mai il modello, ma quello che gli sta intorno: i dati che legge, i processi in cui lo si inserisce e il perimetro dentro cui lo si fa lavorare.
Volete capire dove siete esposti?
Mappiamo gli strumenti AI già in uso nella vostra azienda, i dati che toccano e gli obblighi che vi riguardano. Un'analisi concreta, senza allarmismi. Risposta entro 24 ore.
Richiedi la valutazione gratuitaArticoli correlati
AI Act Omnibus: proroga al 2027 e regole più leggere per le PMI
L'UE rinvia gli obblighi sull'alto rischio e semplifica la compliance. Cosa cambia davvero per chi adotta l'AI.
Leggi l'articolo → Sovereign AISmall Language Models: l'AI che gira a casa tua, a un decimo del costo
Modelli compatti e on-premise: fino al 90% di costi in meno e dati che non escono mai dall'azienda.
Leggi l'articolo → ServizioConsulenza AI Act e compliance
Mappatura dei sistemi, classificazione del rischio e documentazione: vi accompagniamo alle scadenze europee.
Scopri il servizio →