L’intelligenza artificiale può individuare una vulnerabilità e contribuire a correggerla, ma può anche permettere a un attaccante di scoprirla e sfruttarla più rapidamente. È questa duplice natura dell’IA al centro del nuovo piano europeo per la cibersicurezza, presentato dalla Commissione il 7 luglio per costruire una risposta comune alle opportunità e ai rischi dei modelli più avanzati.

I sistemi di IA possono migliorare la preparazione, il rilevamento delle minacce e la risposta agli incidenti. Allo stesso tempo, possono essere utilizzati per automatizzare gli attacchi informatici, individuare più velocemente i punti deboli e condurre operazioni offensive più sofisticate, estese e difficili da contrastare.

Il rischio è destinato ad aumentare con il progressivo miglioramento dei modelli open source. Capacità oggi concentrate in pochi sistemi “di frontiera” potrebbero diventare accessibili a un numero crescente di soggetti, compresi gruppi criminali e altri attori ostili, riducendo il tempo, le risorse e le competenze necessarie per organizzare un attacco.

L’IA sta trasformando il significato della cibersicurezza e dobbiamo tenere il passo”, ha dichiarato Henna Virkkunen, vicepresidente esecutiva della Commissione responsabile per la sovranità tecnologica, la sicurezza e la democrazia. Per Bruxelles è necessario concentrare capacità tecniche, reti, investimenti e strumenti normativi per rafforzare la protezione dell’ambiente digitale europeo.

Henna Virkkunen, vicepresidente esecutiva della Commissione responsabile per la sovranità tecnologica, la sicurezza e la democrazia

Tre obiettivi, nove azioni

La strategia si sviluppa lungo tre obiettivi, ciascuno tradotto in tre azioni operative: rendere sicuro e accessibile l’impiego dell’IA avanzata, preparare l’ecosistema informatico europeo e sviluppare capacità tecnologiche sovrane.

Obiettivo 1 – Rendere l’IA avanzata sicura e accessibile

  1. Creare una capacità europea di valutazione. Entro il 2027 l’UE istituirà una struttura indipendente per esaminare capacità e rischi dei modelli avanzati prima della loro diffusione. La cibersicurezza sarà una componente obbligatoria delle valutazioni.
    Dal 2 agosto 2026 la Commissione eserciterà i poteri di vigilanza previsti dall’AI Act anche sui modelli di IA per finalità generali che presentano rischi sistemici legati alla cibersicurezza. Potrà verificare il modo in cui i fornitori individuano questi rischi e valutare l’efficacia delle misure adottate per limitarli. La nuova struttura affiancherà l’Ufficio europeo per l’IA e contribuirà a ridurre la dipendenza da soggetti di valutazione collocati fuori dall’Unione. La capacità di analizzare autonomamente i sistemi più avanzati è considerata una questione di sicurezza, competenza tecnica e sovranità tecnologica.
  1. Regolare l’accesso ai modelli di frontiera. Commissione ed ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, definiranno entro l’ultimo trimestre del 2026 un modello europeo che permetta alle organizzazioni autorizzate di accedere in modo sicuro e tempestivo alle capacità informatiche dei sistemi più avanzati. Il modello dovrà stabilire condizioni trasparenti, criteri di ammissibilità e misure di sicurezza per consentire ad amministrazioni, imprese e operatori critici di utilizzare queste tecnologie per finalità difensive. Quando sarà necessario ottenere un accesso comune ai modelli di frontiera, potranno essere impiegati strumenti finanziari europei e acquisti congiunti.
  1. Costruire una piattaforma protetta per i test. ENISA e il Centro comune di ricerca realizzeranno entro la fine del 2026 un ambiente controllato nel quale sperimentare l’IA nella scansione delle vulnerabilità, nell’analisi delle minacce e nella risposta agli incidenti. Alla piattaforma potranno contribuire anche CERT-UE, Europol, autorità settoriali e amministrazioni nazionali. I primi destinatari saranno gli operatori di finanza, energia, sanità, trasporti e pubblica amministrazione, che potranno verificare le capacità dei modelli prima di utilizzarli in sistemi sensibili. I test serviranno a stabilire se un sistema sia adatto a svolgere specifiche attività di cibersicurezza. Non sostituiranno le valutazioni previste dall’AI Act per verificare i rischi e la conformità dei modelli.

Obiettivo 2 – Preparare l’ecosistema informatico europeo

  1. Pubblicare orientamenti contro le minacce potenziate dall’IA. Dal terzo trimestre del 2026 ENISA diffonderà raccomandazioni e buone pratiche per proteggere imprese, amministrazioni, infrastrutture critiche e PMI. Le indicazioni riguarderanno sia la difesa dagli attacchi alimentati dall’intelligenza artificiale sia l’integrazione sicura dell’IA nelle attività operative. Le organizzazioni saranno incoraggiate a rafforzare l’igiene informatica, la gestione del rischio e la sicurezza fin dalla progettazione.
  1. Adattare la gestione delle vulnerabilità. Commissione, Stati membri, ENISA e industria aggiorneranno pratiche e strumenti per ridurre lo squilibrio tra la velocità con cui l’IA scopre le falle e quella con cui le organizzazioni riescono a correggerle. I modelli già disponibili, compresi quelli open source, potranno essere utilizzati per individuare le vulnerabilità, stabilirne la priorità, preparare le correzioni e migliorare il rilevamento degli attacchi. Gli Stati membri potranno ricorrere anche alla Riserva europea di cibersicurezza, composta da servizi forniti da operatori privati affidabili. Le sue risorse potranno sostenere la scansione delle vulnerabilità, i test di penetrazione automatizzati, il monitoraggio dei rischi e la preparazione delle raccomandazioni per l’installazione delle correzioni.
  1. Proteggere il software open source critico. Entro la fine del 2026 partirà una campagna pilota per individuare e correggere le vulnerabilità dei componenti open source utilizzati nelle infrastrutture essenziali. Il progetto coinvolgerà amministrazioni, imprese, operatori critici, sviluppatori e responsabili dei progetti open source. I partecipanti potranno sostenere i manutentori mettendo a disposizione specialisti, strumenti e modelli di IA. I risultati confluiranno nello strumento europeo per la manutenzione dell’open source. Se la sperimentazione darà risultati positivi, l’intervento potrà essere esteso ad altri componenti critici e diventare parte stabile della strategia europea per il software aperto.

Obiettivo 3 – Sviluppare capacità europee sovrane

  1. Lanciare una grande sfida europea. Entro la fine del 2026 imprese, ricercatori, operatori critici e comunità open source saranno coinvolti in una “EU Grand Challenge” dedicata alle soluzioni di IA per la cibersicurezza. La competizione si concentrerà sulla correzione assistita delle vulnerabilità, uno dei principali colli di bottiglia della sicurezza informatica. L’obiettivo è sviluppare un sistema capace di assistere i professionisti lungo l’intero processo, dalla scoperta della falla alla preparazione e verifica della soluzione. Le tecnologie più promettenti saranno sperimentate in ambienti operativi realistici e potranno successivamente essere messe a disposizione delle organizzazioni europee.
  1. Aprire le fabbriche di IA alla ciberresilienza. Commissione e Stati membri renderanno accessibile la capacità di calcolo delle fabbriche europee di IA per testare, addestrare e utilizzare modelli avanzati su infrastrutture sovrane. Le fabbriche specializzate in applicazioni cyber potranno facilitare l’accesso a dati pubblici, industriali e di sicurezza informatica attraverso meccanismi protetti e affidabili. I loro laboratori dovranno consentire lo sviluppo e la validazione dei modelli in condizioni controllate, verificabili e sottoposte a responsabilità precise. Le future gigafabbriche dovranno ampliare questa capacità e ridurre il rischio che l’Europa dipenda da modelli, infrastrutture e risorse di calcolo controllati da soggetti esterni.
  1. Formare i professionisti della sicurezza. Entro la fine del 2026 Commissione, Stati membri e industria svilupperanno moduli dedicati all’impiego dell’IA nelle operazioni cyber attraverso l’Accademia europea per le competenze in materia di cibersicurezza. Saranno valutate anche le sinergie con la futura Accademia europea per le competenze nell’IA. ENISA aggiornerà inoltre il quadro europeo delle competenze cyber, integrando le conoscenze sull’intelligenza artificiale nei profili esistenti e definendo, quando necessario, nuovi ruoli professionali.

Duecento milioni per ricerca e sviluppo

Entro la conclusione dell’attuale quadro finanziario pluriennale l’Unione destinerà circa 200 milioni di euro alla ricerca e allo sviluppo di tecnologie europee per l’IA e la cibersicurezza attraverso Orizzonte Europa ed Europa digitale.

Alla fine del 2026 saranno avviati tre progetti di punta di Orizzonte Europa. Le attività riguarderanno il monitoraggio dei sistemi digitali, il rilevamento e la risposta agli attacchi, le capacità di autoriparazione e lo sviluppo di strumenti generativi per il controllo continuo della conformità e la correzione automatizzata delle vulnerabilità.

Entro il 2026 il Fondo del Consiglio europeo per l’innovazione potrà investire in imprese attive nell’IA e nella cibersicurezza nell’ambito dei 100 milioni di euro destinati alle startup e scale-up delle tecnologie strategiche per la difesa. Il sostegno dovrebbe proseguire nel 2027, mentre il fondo Scaleup Europe dovrebbe effettuare i primi investimenti nelle imprese strategiche già nel 2026.

La futura capacità europea di investimento nelle tecnologie strategiche dovrebbe agire come un’ancora di coinvestimento, mobilitando capitali privati per sostenere progetti di grandi dimensioni nell’IA avanzata e nelle infrastrutture digitali.

Dati, ricerca e autonomia tecnologica

La costruzione di capacità europee di frontiera poggerà anche sulla rete di laboratori finanziata dall’iniziativa RAISE, sui programmi di Orizzonte Europa e sulla collaborazione tra Francia e Germania per una European Frontier AI Initiative.

Queste attività dovranno favorire la ricerca, attirare competenze specializzate e sostenere la nascita di nuove imprese. Il futuro Fondo europeo per la competitività potrà contribuire allo sviluppo di sistemi sovrani, compresi quelli destinati alla sicurezza e alla difesa.

Per la Commissione, la disponibilità di capacità di calcolo, modelli e infrastrutture per i dati è ormai una condizione strategica. In assenza di risorse proprie, l’Europa rischierebbe di restare un semplice utilizzatore di tecnologie sviluppate altrove, esposto a interruzioni del servizio, restrizioni nell’accesso e nuove dipendenze industriali.

IA, difesa e tecnologie dual use

Le capacità informatiche dei modelli più avanzati hanno implicazioni anche per la difesa e la sicurezza nazionale. La Commissione istituirà quindi un gruppo di lavoro con gli Stati membri e le agenzie interessate, comprese ENISA e l’Agenzia europea per la difesa.

Il gruppo analizzerà i rischi legati all’impiego dei modelli di frontiera nei sistemi critici militari e dual use, cioè utilizzabili sia in ambito civile sia in quello della difesa.

L’obiettivo è sostenere lo sviluppo di capacità europee affidabili e, nello stesso tempo, impedire che sistemi particolarmente potenti introducano vulnerabilità in infrastrutture essenziali o applicazioni sensibili.

Cooperazione con G7, ONU e NATO

Le minacce informatiche legate all’intelligenza artificiale non si fermano ai confini dell’Unione. Modelli, catene di fornitura del software e progetti open source operano su scala globale e il rilascio di un sistema avanzato in un Paese può avere conseguenze sulla sicurezza delle infrastrutture di molti altri.

L’UE intende quindi promuovere nel G7 una comprensione comune dei rischi informatici derivanti dall’IA, sostenendo la cooperazione sugli standard e sulle metodologie di valutazione. Il confronto proseguirà anche alle Nazioni Unite e attraverso i partenariati digitali e i dialoghi cyber con i Paesi alleati.

La Commissione parteciperà alla rete internazionale per la misurazione e la valutazione dell’IA avanzata coordinata dall’AI Security Institute britannico. Saranno intensificati anche gli scambi con la NATO, sfruttando il futuro Centro di eccellenza dell’Alleanza dedicato all’intelligenza artificiale.

Bruxelles vuole inoltre favorire un dialogo strutturato tra governi e principali sviluppatori dei modelli di frontiera, così da individuare approcci condivisi alla sicurezza, alla valutazione e alla diffusione responsabile dei sistemi.

Un piano costruito sulle regole esistenti

L’iniziativa si innesta sul quadro formato da AI Act, direttiva NIS2, regolamento sulla ciberresilienza, DORA e regolamento sulla cibersolidarietà.

L’AI Act impone la valutazione e l’attenuazione dei rischi derivanti dai modelli più avanzati. Il regolamento sulla ciberresilienza, pienamente applicabile entro la fine del 2027, introduce obblighi di sicurezza fin dalla progettazione e di gestione delle vulnerabilità per i prodotti hardware e software.

La direttiva NIS2 rafforza la sicurezza dei settori critici, DORA disciplina la resilienza operativa digitale nel comparto finanziario e il regolamento sulla cibersolidarietà migliora le capacità europee di preparazione, rilevamento e risposta agli incidenti significativi e su vasta scala.

La Commissione valuterà periodicamente l’attuazione del piano e potrà modificare le singole azioni in base all’evoluzione delle tecnologie e delle minacce. La sfida non è soltanto impedire che l’IA diventi un moltiplicatore degli attacchi: è assicurarsi che l’Europa disponga delle competenze, delle infrastrutture, dei capitali e dell’autonomia tecnologica necessari per usarla più rapidamente ed efficacemente di chi tenta di colpirla.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome