L’intelligenza artificiale sta progressivamente modificando la natura della cybersecurity, incidendo tanto sulle capacità di difesa quanto sulle modalità attraverso cui possono essere condotte attività offensive. In questo contesto si inserisce l’Action Plan on Cybersecurity and Artificial Intelligence della Commissione europea, un documento che segna un passaggio rilevante nella strategia dell’Unione e che conferma come il tema non possa più essere affrontato soltanto in chiave regolatoria.
Negli ultimi anni l’UE ha costruito un’articolata architettura normativa per governare la trasformazione digitale. L’AI Act, il Cyber Resilience Act, la direttiva NIS2, il regolamento DORA e il Cyber Solidarity Act hanno contribuito a definire un quadro di obblighi, responsabilità, strumenti di prevenzione e meccanismi di risposta. Si tratta di un impianto certamente significativo, che ha rafforzato il presidio europeo su rischi tecnologici sempre più complessi.
Tuttavia, il nuovo Piano della Commissione mette in evidenza un dato ulteriore: nella cybersecurity dell’era AI le regole, pur necessarie, non sono più sufficienti. Alla capacità normativa deve affiancarsi una capacità tecnica, operativa e industriale. L’Europa non deve soltanto disciplinare l’uso dell’intelligenza artificiale, ma deve essere in grado di valutarla, testarla, integrarla nei processi di sicurezza e sviluppare strumenti propri.
AI E CYBERSECURITY: IL CAMBIO DI PARADIGMA
Il punto di partenza dell’Action Plan è la constatazione che i modelli di AI più avanzati possono rafforzare in maniera significativa la resilienza cyber. Le organizzazioni possono utilizzarli per migliorare il rilevamento delle minacce, accelerare la risposta agli incidenti, supportare l’analisi delle vulnerabilità, orientare le priorità di intervento e rendere più efficaci le attività di remediation.
Dal punto di vista operativo, l’AI può consentire ai team di sicurezza di lavorare con maggiore rapidità e su scala più ampia. In un contesto caratterizzato dall’aumento della superficie d’attacco, dalla crescente complessità delle infrastrutture digitali e dalla persistente carenza di competenze specialistiche, questo rappresenta un’opportunità di grande rilievo.
Il medesimo fattore, però, opera anche in senso opposto. La Commissione evidenzia come le capacità avanzate dell’intelligenza artificiale possano essere sfruttate anche da attori malevoli, rendendo le operazioni offensive più automatizzate, sofisticate e scalabili. Attività che in passato richiedevano elevate competenze tecniche, risorse significative e tempi lunghi potrebbero diventare più accessibili e più rapide.
È questo il primo elemento di discontinuità: l’AI non modifica solo gli strumenti della difesa, ma cambia anche l’economia dell’attacco. Può ridurre il costo della scoperta delle vulnerabilità, aumentare la velocità con cui possono essere sfruttate e amplificare la capacità degli attaccanti di colpire sistemi e organizzazioni in modo mirato.
IL FATTORE TEMPO COME VARIABILE STRATEGICA
In questo scenario il tempo diventa una variabile centrale. Se l’intelligenza artificiale accelera la scoperta e lo sfruttamento delle vulnerabilità, anche i processi di difesa devono essere ripensati. Le procedure tradizionali di analisi, prioritizzazione, patching e risposta agli incidenti rischiano infatti di rivelarsi troppo lente rispetto alla nuova velocità della minaccia.
Il problema non riguarda soltanto la capacità di individuare una vulnerabilità, ma soprattutto quella di correggerla prima che venga sfruttata su larga scala. La Commissione richiama con forza la necessità di aggiornare le pratiche di vulnerability management, rendendole coerenti con un ambiente nel quale l’AI può comprimere drasticamente i tempi a disposizione dei difensori.
Questo aspetto assume particolare importanza per le infrastrutture critiche e per i settori essenziali. Energia, trasporti, sanità, finanza, pubblica amministrazione e infrastrutture digitali non possono permettersi processi di sicurezza incapaci di tenere il passo con minacce sempre più rapide. In questi ambiti, una vulnerabilità non rappresenta soltanto un problema tecnico, ma può produrre conseguenze economiche, sociali e strategiche.
Per questa ragione il Piano richiama l’esigenza di rafforzare le basi della cybersecurity: igiene informatica, hardening dei sistemi, approcci zero trust, sviluppo sicuro, secure by design, gestione sistematica delle vulnerabilità e capacità di patching tempestivo. Si tratta di presidi noti, ma che nell’era dell’AI assumono una rilevanza ancora maggiore.
OLTRE LA COMPLIANCE: LA COSTRUZIONE DI CAPACITÀ
Uno degli aspetti più rilevanti del documento è il passaggio da una logica prevalentemente regolatoria a una logica di capacità. L’Europa ha già definito un quadro normativo articolato ma adesso è chiamata a dimostrare di essere in grado di costruire gli strumenti necessari per renderlo effettivo e per non subire passivamente l’evoluzione tecnologica.
In questa prospettiva si colloca la proposta di rafforzare le capacità europee di valutazione dei modelli di AI, anche con specifico riferimento ai rischi di cybersecurity. Il tema è cruciale poiché per poter utilizzare modelli avanzati in contesti sensibili, occorre comprenderne il funzionamento, verificarne i rischi, valutarne le misure di mitigazione e accertare la loro idoneità rispetto a specifici casi d’uso.
La Commissione propone quindi di sostenere la creazione di una capacità europea di valutazione dei modelli AI, in grado di contribuire al nascente ecosistema di valutatori indipendenti. L’obiettivo è rafforzare l’autonomia tecnica dell’UE, garantendo al tempo stesso un processo rigoroso di valutazione esterna e un supporto all’attuazione degli obblighi previsti dall’AI Act per i modelli più avanzati.
Si tratta di un passaggio importante perché evidenzia come la governance dell’intelligenza artificiale non possa essere affidata esclusivamente a regole astratte. La regolazione richiede competenze, infrastrutture, metodologie di testing e capacità di controllo. Senza questi elementi, anche il quadro normativo più avanzato rischia di restare difficilmente applicabile.
ACCESSO AI MODELLI AVANZATI E SOVRANITÀ TECNOLOGICA
Il profilo più politico dell’Action Plan riguarda la sovranità tecnologica europea. La Commissione riconosce che molte capacità legate ai frontier AI models sono oggi sviluppate al di fuori dell’Unione e che l’accesso a tali capacità può dipendere da processi decisionali non europei, spesso non pienamente trasparenti.
È un passaggio di particolare rilievo che si colloca in una cornice che sempre più si sta focalizzando sul tema dell’acquisizione di una maggior indipendenza dell’UE rispetto ai paesi terzi. Prova ne è la proposta di revisione del Cybersecurity Act (CSA2), il Digital Networks Act (DNA) e da ultimo il Tech Sovereignty Package comprensivo, tra gli altri, del Chips Act 2.0 e del Cloud and AI Development Act (CADA). Ebbene, il documento evidenzia come la cybersecurity non basti più poter acquistare tecnologia sul mercato e come sia necessario poterla valutare, testare, governare e utilizzare quando necessario, soprattutto se essa entra nel perimetro della sicurezza nazionale, della difesa o della protezione delle infrastrutture critiche.
Laddove l’accesso a modelli avanzati dipenda esclusivamente da scelte commerciali di provider extraeuropei o da programmi di accesso definiti fuori dall’UE, gli attori europei rischiano di trovarsi in una posizione di dipendenza strategica. Questo vale per le autorità pubbliche, per gli operatori di infrastrutture critiche, per i provider di cybersecurity e per i centri di ricerca.
Per affrontare questo rischio, la Commissione propone un European Blueprint per l’accesso strutturato alle capacità AI avanzate a fini di cybersecurity. L’obiettivo è definire criteri chiari e processi sicuri affinché soggetti europei qualificati possano accedere a tali strumenti in modo tempestivo, senza esporre l’ecosistema a rischi indebiti di abuso.
Il tema dell’accesso non è secondario. In una situazione di crisi, la disponibilità di capacità avanzate può incidere direttamente sulla capacità di risposta. Se un modello o un sistema rilevante per la difesa cyber può essere limitato, ritirato o reso indisponibile da decisioni esterne, la questione diventa inevitabilmente strategica.
TESTING SICURO E AMBIENTI CONTROLLATI
Accanto alla valutazione e all’accesso, il Piano pone l’accento sul testing. Prima di portare modelli avanzati dentro ambienti sensibili, è necessario capire come essi si comportino in scenari realistici. Non basta sapere che un sistema di AI possiede potenzialità rilevanti; occorre verificarne l’utilità, l’affidabilità e i rischi nei casi d’uso concreti della cybersecurity.
Per questa ragione ENISA e il Joint Research Centre della Commissione sono chiamati a sviluppare una piattaforma sicura di testing per l’AI applicata alla cybersecurity. Tale piattaforma dovrebbe consentire di sperimentare i modelli in attività come vulnerability scanning, incident response, triage, threat intelligence, detection e remediation.
Il ricorso ad ambienti controllati, inclusi cyber range, risponde all’esigenza di testare le capacità AI senza esporre infrastrutture reali a rischi. È un passaggio necessario per favorire un’adozione più sicura e consapevole, soprattutto da parte degli operatori critici e delle amministrazioni pubbliche.
In questo modo il Piano prova a colmare uno spazio spesso trascurato tra innovazione e deployment. Non tutte le tecnologie promettenti sono immediatamente utilizzabili in ambienti sensibili. Servono prove, metriche, condizioni di sicurezza e una chiara comprensione dei limiti operativi.
VULNERABILITY MANAGEMENT E OPEN SOURCE
Il Piano dedica attenzione anche al software open source, riconoscendone il ruolo centrale nell’ecosistema digitale europeo. Molte componenti open source sono infatti ampiamente utilizzate nei sistemi informatici e nelle infrastrutture critiche. La loro sicurezza diventa quindi un elemento essenziale della resilienza complessiva dell’Unione.
La Commissione propone una Critical Open Source Resilience Campaign, da sviluppare con ENISA, Stati membri, comunità open source, industria e soggetti pubblici. L’obiettivo è individuare componenti critici, sostenere la manutenzione, accelerare il patching e utilizzare strumenti basati sull’AI per supportare la scansione delle vulnerabilità e le attività di remediation.
L’approccio è pragmatico. Se l’AI accelera la scoperta delle vulnerabilità, occorre concentrare gli sforzi dove il rischio sistemico è maggiore. Il software open source rappresenta un terreno prioritario proprio per la sua diffusione trasversale e per la dipendenza che molti settori critici hanno da componenti condivisi.
LA DIMENSIONE INDUSTRIALE DELLA CYBER-AI
Il terzo pilastro dell’Action Plan riguarda la capacità europea di sviluppare e scalare soluzioni di AI applicate alla cybersecurity. È un punto decisivo. Se l’AI diventa un abilitatore strategico della resilienza cyber, l’Europa non può limitarsi a importare strumenti sviluppati altrove.
La Commissione richiama gli investimenti già attivati attraverso Horizon Europe, Digital Europe, European Innovation Council e altri strumenti europei. Tuttavia, il documento chiarisce che la sfida richiede un cambio di scala. Occorre sostenere un ecosistema europeo in grado di sviluppare soluzioni affidabili, testate e adottabili nei settori critici.
In questa direzione si inserisce l’EU Grand Challenge sull’AI-assisted vulnerability remediation. La Commissione individua nella remediation assistita dall’AI uno dei principali colli di bottiglia operativi. Oggi, infatti, la capacità di individuare vulnerabilità rischia di avanzare più rapidamente della capacità di correggerle. Se questo squilibrio non viene affrontato, il vantaggio potrebbe spostarsi verso gli attaccanti.
L’obiettivo del Grand Challenge è quindi favorire lo sviluppo di sistemi in grado di supportare i team di cybersecurity lungo l’intero ciclo di remediation: dall’analisi del rischio alla definizione delle priorità, dalla proposta di correzione alla verifica dell’efficacia degli interventi.
COMPUTE, DATI E MODELLI: IL NODO DELL’AUTONOMIA
La sovranità tecnologica non riguarda soltanto gli strumenti applicativi. Riguarda anche compute, dati, infrastrutture cloud, modelli e capacità frontier. Il Piano afferma chiaramente che, senza queste componenti, l’Europa rischia di rimanere un utilizzatore vulnerabile di sistemi sviluppati altrove e potenzialmente controllabili da altri soggetti.
È una valutazione molto netta, che collega la cybersecurity alla politica industriale e alla geopolitica tecnologica. La capacità di sviluppare modelli avanzati, di addestrarli su infrastrutture affidabili, di accedere a dataset di qualità e di operare su compute sovrano diventa parte integrante della sicurezza europea.
In questo contesto si collocano le AI Factories, le future Gigafactories e gli strumenti di investimento destinati a sostenere tecnologie avanzate e infrastrutture strategiche. Il costo di costruire capacità europee può essere elevato, ma il costo di non costruirle rischia di essere ancora più alto, soprattutto se il divario tecnologico dovesse ampliarsi ulteriormente.
IL FATTORE COMPETENZE
La tecnologia, tuttavia, non è sufficiente. L’utilizzo sicuro ed efficace dell’AI nella cybersecurity richiede professionisti capaci di comprenderne funzionamento, limiti, rischi e potenzialità. Il Piano richiama quindi la necessità di rafforzare le competenze cyber-AI, anche attraverso la Cybersecurity Skills Academy.
La Commissione propone di sviluppare moduli formativi specifici per i professionisti della cybersecurity e di aggiornare il quadro europeo delle competenze cyber, integrando profili legati all’intelligenza artificiale. È un aspetto non secondario. Senza capitale umano adeguato, anche le migliori infrastrutture rischiano di restare sottoutilizzate o di essere impiegate in modo non sicuro.
CONCLUSIONI
L’Action Plan on Cybersecurity and Artificial Intelligence segna un passaggio di maturità nella politica europea sull’intelligenza artificiale. Dopo una fase incentrata soprattutto sulla costruzione di regole, l’Unione riconosce con maggior consapevolezza e lucidità la necessità di sviluppare capacità tecniche, operative e industriali.
La cybersecurity dell’era AI non sarà definita infatti soltanto dalla qualità della regolazione, ma anche dalla capacità concreta di valutare i modelli, accedervi in modo sicuro, testarli in ambienti controllati, integrarli nei processi di difesa, accelerare il patching e sviluppare soluzioni europee affidabili.
Il punto decisivo è che l’Europa rischia di essere un mercato regolato per tecnologie sviluppate altrove per cui anche se il gap è decisamente elevato, è senza dubbio indispensabile avviare un percorso che consenta di diventare anche un attore capace di produrre, governare e proteggere le tecnologie da cui dipende la propria sicurezza.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Silvia COMPAGNUCCI
Source link





