Dopo la sessione plenaria dello scorso 27 maggio 2026, il G7 Cybersecurity Working Group ha finalmente pubblicato la dichiarazione formale dell’incontro che, di fatto, definisce la nuova agenda della cyber sicurezza europea e mondiale.
Un documento importante che, per chi opera nel settore della sicurezza informatica, vale molto di più di un comunicato diplomatico: è un catalogo di urgenze operative, firmate dalle agenzie di cyber security delle sette principali democrazie industriali del mondo.
Indice degli argomenti
Un segnale che le aziende non possono ignorare
Il documento, in particolare, fissa quattro priorità strategiche: la transizione alla crittografia post-quantistica, la gestione dei rischi cyber legati all’intelligenza artificiale, il rafforzamento della sicurezza delle telecomunicazioni e la protezione delle PMI.
Non sono temi nuovi per chi segue l’evoluzione normativa e tecnica del settore (NIS2, Cyber Resilience Act e AI Act sono già sul tavolo delle aziende europee) ma il fatto che vengono codificati in una dichiarazione G7 significa che il perimetro della responsabilità si allarga e i tempi si accorciano.
La Commissione Europea ha accolto con entusiasmo il documento, sottolineando come le priorità del Working Group si allineino perfettamente con la Strategia europea di cybersicurezza. Un segnale di coerenza normativa che, per le aziende italiane, si traduce in un’indicazione operativa chiara: il tempo delle valutazioni preliminari è finito.
La crittografia post-quantistica non è più opzionale
La dichiarazione del G7 è esplicita e non lascia spazio a interpretazioni di comodo: la migrazione alla Post-Quantum Cryptography (PQC) è una priorità urgente che le organizzazioni pubbliche e private non possono più permettersi di rinviare.
Il problema degli attacchi retroattivi
Il rischio che il documento descrive non è ipotetico né lontano nel tempo. La minaccia dei cosiddetti “harvest now, decrypt later” – la pratica di intercettare e archiviare oggi dati cifrati, per decifrarli nel momento in cui i computer quantistici raggiungeranno la potenza necessaria – è già in corso. Chi raccoglie dati sensibili con orizzonti di riservatezza a lungo termine (dati sanitari, segreti industriali, comunicazioni governative) è già esposto.
Il G7 riconosce i progressi ottenuti sotto la presidenza canadese: è stato pubblicato il documento “G7 Cyber Working Group Statement on PQC Migration”, negoziato da Ottawa, che fornisce indicazioni pratiche per la gestione tecnica della transizione nelle organizzazioni di medie e grandi dimensioni.
L’UE, da parte sua, ha adottato nel 2025 una roadmap per una transizione coordinata verso la PQC, con scadenze precise per i casi d’uso critici.
Cosa devono fare le aziende
Il messaggio operativo è chiaro: non serve aspettare che i computer quantistici siano una realtà di mercato per iniziare a muoversi. Le azioni immediate includono:
- Mappatura degli algoritmi crittografici in uso nell’intera infrastruttura IT, con particolare attenzione agli algoritmi RSA e ECC oggi più diffusi.
- Valutazione della “crypto-agility” dei sistemi: quanto rapidamente è possibile sostituire un algoritmo crittografico senza rivedere l’architettura dell’intera soluzione?
- Prioritizzazione dei dati con requisiti di riservatezza a lungo termine: questi sono i primi da proteggere con algoritmi post-quantistici.
- Monitoraggio degli standard NIST (già pubblicati nel 2024: ML-KEM, ML-DSA, SLH-DSA) e dei corrispondenti standard europei in via di definizione.
La lezione che possiamo trarre dal documento del G7 Cybersecurity Working Group è che la transizione post-quantistica non è un progetto IT a sé stante, ma un processo che coinvolge contratti con fornitori, requisiti normativi e cicli di vita dei prodotti.
Chi inizia oggi con un’analisi dell’esposizione crittografica avrà un vantaggio competitivo significativo quando la normativa, inevitabilmente, renderà obbligatori certi standard.
Intelligenza artificiale: arma, bersaglio e acceleratore di rischi
Il capitolo sull’AI è forse il più denso e articolato dell’intera dichiarazione e riflette una maturità di pensiero che va ben oltre le generiche preoccupazioni sull’AI che troviamo in molti documenti di policy.
Il G7 affronta la questione con la precisione di chi ha già visto i casi concreti.
La doppia natura delle LLM
I Large Language Models (le stesse tecnologie che stanno trasformando la produttività aziendale) sono descritti esplicitamente come uno strumento che viene “weaponizzato” dagli attori delle minacce.
Non solo: i sistemi AI sono diventati essi stessi obiettivi ad alto valore.
Il documento elenca con precisione le nuove superfici di attacco:
- Model poisoning: avvelenamento dei dati di addestramento per alterare il comportamento del modello.
- Software supply chain compromise: compromissione della catena di fornitura software durante lo sviluppo o il deployment dei modelli.
- Sensitive data exfiltration: estrazione di dati sensibili attraverso tecniche di prompt injection o jailbreak.
L’AI SBOM: trasparenza come strumento di sicurezza
Un risultato concreto già conseguito sotto la presidenza canadese è il documento “Minimum Elements on a SBOM for AI”, negoziato da Germania e Italia, una circostanza che dovrebbe attirare particolare attenzione delle aziende italiane.
Il concetto di Software Bill of Materials applicato ai sistemi AI è uno strumento potente: impone di esplicitare quali componenti, dataset e dipendenze compongono un sistema di intelligenza artificiale, permettendo di identificarne rapidamente vulnerabilità e rischi.
La Commissione Europea ha annunciato un piano d’azione su AI e cyber security che includerà azioni concrete a supporto degli Stati membri e delle imprese europee. Un ulteriore tassello normativo in arrivo che le aziende farebbero bene a tenere nel radar.
AI-assisted vulnerability discovery: il ritmo della patch management cambia
La dichiarazione segnala un cambiamento di paradigma che merita attenzione specifica: le capacità emergenti di AI applicata alla cyber security (discovery automatizzata di vulnerabilità e generazione assistita di codice) stanno accelerando sia l’identificazione delle falle sia la loro potenziale sfruttabilità.
Il risultato è che il tempo disponibile per applicare una patch critica si accorcia drammaticamente.
Molte aziende italiane stanno adottando strumenti AI per la produttività senza aver rivisto la propria governance della sicurezza. Prima di implementare qualsiasi LLM in produzione, è indispensabile condurre un’analisi del rischio specifica che includa le nuove superfici di attacco descritte dal G7.
L’AI SBOM non è solo un requisito normativo futuro: è un buon punto di partenza per costruire consapevolezza interna.
Telecomunicazioni: infrastruttura critica sotto pressione sistemica
Il terzo pilastro della dichiarazione riguarda la cyber security delle telecomunicazioni, elevata a “questione globale di primaria importanza”. La motivazione è tecnica prima ancora che politica: la complessità tecnica e la crescente interdipendenza delle reti crea un rischio sistemico che non può essere gestito da un singolo operatore o da un singolo Paese.
Il G7 Cybersecurity Working Group si candida esplicitamente come forum privilegiato per il coordinamento delle politiche di sicurezza digitale tra i partner. È una dichiarazione di intenti che ha implicazioni concrete: le decisioni sulla sicurezza delle reti 5G, sulla gestione dei fornitori ad alto rischio, sugli standard di resilienza saranno sempre più oggetto di coordinamento multilaterale.
Il quadro normativo europeo come punto di riferimento
Dal lato europeo, il posizionamento è solido. La direttiva NIS2 fissa già standard elevati per la resilienza delle telecomunicazioni, imponendo obblighi specifici agli operatori di reti e servizi di comunicazione elettronica.
La proposta di revisione del Cybersecurity Act mira a rafforzare ulteriormente la sicurezza delle supply chain ICT nel settore delle telecomunicazioni.
Per le aziende che si affidano a fornitori di servizi cloud, connettività e comunicazione, questo significa che i requisiti di sicurezza nella catena di fornitura diventeranno più stringenti e i fornitori che non si adeguano diventeranno un rischio contrattuale oltre che tecnico.
Nell’ambito della conformità NIS2, chi gestisce o dipende da infrastrutture di telecomunicazione dovrebbe già aver completato la valutazione del rischio della supply chain. Se non è così, il documento G7 fornisce argomenti aggiuntivi per accelerare questo processo con il management.
Le PMI non possono più essere l’anello debole della catena
Il quarto pilastro è probabilmente quello con il maggiore impatto sull’ecosistema economico italiano, strutturalmente fondato sulle piccole e medie imprese.
La dichiarazione è netta: un cyber attacco che colpisce le PMI, “la spina dorsale dell’economia globale”, rappresenta un rischio sistemico, non un problema di singola azienda.
Il cambio di prospettiva è significativo. Per anni la cyber security delle PMI è stata trattata come un problema di awareness e di budget limitato. Il G7 sposta la responsabilità: non si chiede alle PMI di diventare esperti di sicurezza informatica, si chiede ai vendor tecnologici di fornire prodotti sicuri by design.
Secure by design: la responsabilità si sposta sui produttori
Il principio “secure by design”, ossia prodotti che incorporano la sicurezza fin dalla progettazione, senza richiedere configurazioni complesse da parte dell’utente finale, è il cuore della risposta del G7 alla vulnerabilità delle PMI.
È lo stesso principio che anima il Cyber Resilience Act europeo, che impone requisiti di cyber security ai prodotti digitali lungo l’intero ciclo di vita.
La logica è convincente: se una PMI con tre dipendenti utilizza un software gestionale, non ha le competenze né le risorse per valutarne la sicurezza intrinseca. Ma il vendor che ha sviluppato quel software ha le competenze e la responsabilità di garantire che non diventi un vettore di attacco.
La Commissione Europea, in collaborazione con ENISA, sta sviluppando strumenti e linee guida specificamente pensati per le PMI, semplici, accessibili, concreti.
Cosa chiedere ai propri fornitori tecnologici
Per le PMI e per i consulenti che le supportano, il messaggio pratico della dichiarazione G7 si traduce in una lista di domande da porre ai fornitori tecnologici:
- Il prodotto dispone di una politica di gestione delle vulnerabilità e di rilascio degli aggiornamenti di sicurezza? Con quale frequenza? Per quanto tempo dopo l’acquisto?
- Esistono configurazioni di sicurezza predefinite che non richiedono intervento dell’utente?
- Il fornitore è in grado di fornire una documentazione equivalente a un AI SBOM per i componenti software inclusi nel prodotto?
- Quali certificazioni di sicurezza sono disponibili (es. EUCC per i prodotti ICT nell’ambito del Cybersecurity Act)?
Cosa cambia per le aziende italiane
Leggere la dichiarazione G7 con gli occhi di un consulente che lavora con aziende italiane (medie imprese manifatturiere, studi professionali, operatori di infrastrutture critiche) fa emergere alcune considerazioni che vanno al di là della sintesi delle priorità.
Il coordinamento G7 accelera la convergenza normativa
L’Italia ha negoziato attivamente il documento sull’AI SBOM insieme alla Germania. Questo non è un dettaglio di protocollo: significa che le posizioni italiane sulla governance della sicurezza AI hanno trovato spazio nel documento fondativo del G7 su questo tema.
Per le aziende italiane che operano in settori regolamentati, è un segnale che la normativa nazionale (e il decreto legislativo di recepimento della NIS2) è allineata con la traiettoria internazionale.
Il calendario 2026-2027 è più corto di quanto appaia
La dichiarazione prevede un secondo incontro del Working Group nell’autunno 2026 per finalizzare i lavori, prima di passare la presidenza agli Stati Uniti per il 2027. Questo significa che entro fine anno ci aspettiamo ulteriori output tecnici su ciascuna delle quattro priorità.
Le aziende che attendono la pubblicazione di linee guida definitive prima di muoversi si troveranno in ritardo.
Il calendario normativo europeo aggiunge ulteriore pressione: il Cyber Resilience Act, la revisione del Cybersecurity Act, il piano d’azione EU su AI e cyber security, tutto si concentra in una finestra di 12-18 mesi.
Chi ha già avviato percorsi di conformità NIS2 strutturati ha un vantaggio reale, perché può estendere le stesse metodologie di risk management alle nuove aree di rischio.
La presidenza USA nel 2027: un cambio di enfasi da monitorare
Non è da sottovalutare il passaggio di presidenza agli Stati Uniti nel 2027. L’attuale amministrazione americana ha posizioni articolate, a volte divergenti da quelle europee, su temi come la regolamentazione dell’AI, i requisiti per i fornitori di tecnologia e la sicurezza delle telecomunicazioni.
Monitorare l’evoluzione del Working Group sotto presidenza USA sarà importante per anticipare eventuali tensioni normative tra le due sponde dell’Atlantico.
Non aspettare la norma, interpretare il segnale
La dichiarazione del G7 Cybersecurity Working Group del 27 maggio 2026 non è un documento che impone obblighi diretti alle aziende. Non ci sono sanzioni per chi non migra immediatamente alla crittografia post-quantistica, né audit obbligatori per i sistemi AI.
Eppure, sarebbe un errore leggerla come un documento di principio senza conseguenze operative.
Le dichiarazioni del G7 su temi tecnologici hanno storicamente anticipato di 12-24 mesi le normative vincolanti. La NIS2, il Cyber Resilience Act, la roadmap PQC europea: tutti si inseriscono in un percorso la cui direzione è chiaramente indicata dai lavori del Working Group.
Chi legge il documento oggi con gli occhi del risk management (e non solo del compliance officer) ha la possibilità di trasformare un obbligo futuro in un investimento strategico presente.
Le quattro priorità del G7 sono anche quattro aree di rischio reale per le aziende italiane:
- la crittografia che protegge i dati oggi potrebbe essere obsoleta prima del previsto;
- gli strumenti AI adottati senza governance adeguata sono vettori di attacco;
- le telecomunicazioni su cui si reggono i processi critici sono infrastrutture sistemicamente vulnerabili;
- i fornitori tecnologici delle PMI rappresentano il punto di ingresso preferito per ransomware e attacchi alla supply chain.
Il G7 ha fatto la sua parte: ha scritto il documento, ha fissato le priorità, ha comunicato l’urgenza. Il passo successivo devono compierlo le aziende.
