Cybersecurity, UE lancia il nuovo Piano d'Azione tra AI e scudo cibernetico

Cybersecurity, UE lancia il nuovo Piano d’Azione tra AI e scudo cibernetico

La Commissione Europea ha presentato a Strasburgo una strategia strutturata per mitigare i rischi dei modelli avanzati di IA e sfruttarne il potenziale nella difesa digitale. Tra le novità: una capacità di valutazione nel 2027, test con l’ENISA per i settori critici e la “Grande Sfida” per le imprese.

La rivoluzione dell’Intelligenza Artificiale sta ridisegnando i confini della sicurezza informatica globale.

Se da un lato i modelli avanzati di AI offrono strumenti senza precedenti per la difesa delle reti, dall’altro vengono già utilizzati per automatizzare attacchi hacker, individuare vulnerabilità strutturali e scalare la velocità dei cyber-attivisti e dei gruppi criminali.

Per rispondere a questa duplice sfida la Commissione Europea ha presentato a Strasburgo il nuovo Piano d’Azione dell’UE sulla cibersicurezza e l’intelligenzaartificiale.

L’obiettivo è unire le forze di Stati membri, industria e istituzioni per blindare il panorama digitale europeo, basandosi su pilastri normativi già definiti come l’AI Act e la Direttiva NIS2.

Valutazione rigorosa dei modelli IA dal 2027

Uno dei punti cardine del piano riguarda la conoscenza profonda dei rischi prima dell’immissione dei prodotti sul mercato.

In linea con l’AI Act, la Commissione finanzierà la creazione di una capacità di valutazione dell’UE in materia di cibersicurezza, che diventerà pienamente operativa nel 2027.

Questa nuova entità supporterà attivamente l’Ufficio per l’AI (AI Office), potenziando le verifiche di terze parti sui modelli generativi e di AI generale a livello globale, garantendo che le misure di mitigazione del rischio siano efficaci e tempestive.

Accesso protetto e test per i settori critici

L’Europa punta a creare un ecosistema trasparente.

La Commissione, in sinergia con l’ENISA (Agenzia dell’UE per la cibersicurezza), definirà linee guida per un accesso strutturato e sicuro alle capacità avanzate di AI.

Inoltre, l’ENISA e il Centro comune di ricerca istituiranno una piattaforma di test in ambienti simulati.

Questa iniziativa consentirà agli operatori di infrastrutture critiche e strategiche di sperimentare l’AI in totale sicurezza.

I settori coinvolti includono:

  • Sanità e pubblica amministrazione
  • Energia e trasporti
  • Finanza (in linea col regolamento DORA)

Difesa attiva e supporto alla comunità Open Source

Il Piano d’Azione invita le aziende pubbliche e private a intensificare l’igiene informatica e ad adottare i principi di security-by-design.

La Commissione incoraggia l’adozione di modelli di IA, compresi quelli open source, per identificare e correggere i bug del software prima che vengano sfruttati dai malintenzionati.

Per supportare questa transizione, l’ENISA faciliterà i partenariati tra pubblico, privato e sviluppatori indipendenti, avviando una campagna specifica per la protezione del software open source critico.

Sovranità tecnologica e investimenti, la “grande sfida”

Per stimolare l’innovazione interna e non dipendere da tecnologie extra-UE, viene lanciata la Grande sfida dell’UE sull’IA per la cibersicurezza, concorso volto a stimolare startup, ricercatori e imprese nello sviluppo di soluzioni difensive native.

I piani a lungo termine prevedono lo sfruttamento delle “fabbriche di IA” (AI Factories) e delle future Gigafactory, supportate dalla capacità di capitale proprio prevista dal pacchetto sulla sovranità tecnologica per attrarre investimenti privati.

> “L’IA sta trasformando il significato della cybersecurity. E dobbiamo tenere il passo. L’UE dispone di solide basi per adattare la sua risposta di fronte alle vulnerabilità che la tecnologia emergente comporta.”

> Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia.

Quadro normativo di riferimento

Il piano si inserisce in un ecosistema legale europeo già delineato e in continua attivazione:

  • AI Act & Codice di buone pratiche: requisiti vincolanti in vigore dal 2 agosto 2026.
  • Cyber Resilience Act: sicurezza nativa per hardware e software entro la fine del 2027.
  • Direttiva NIS2 e DORA: protezione dei settori chiave e resilienza operativa finanziaria.
  • Cyber Solidarity Act: prontezza e risposta comune europea contro le minacce su vasta scala.