il documento

Action Plan europeo su cyber security e AI: dalle regole alla capacità operativa



Indirizzo copiato

L’Action Plan europeo su cyber security e AI punta a rafforzare valutazione dei modelli, gestione delle vulnerabilità, software open source e competenze. Dopo la stagione della regolazione, Bruxelles prova a costruire capacità operative e sovranità tecnologica

Pubblicato il 8 lug 2026

Tania Orrù

Data Protection, Compliance & Digital Governance Advisor



Action Plan europeo cybersecurity AI
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


L’Action Plan on Cybersecurity and Artificial Intelligence presentato il 7 luglio 2026 dalla Commissione UE individua una serie di iniziative volte a potenziare la resilienza informatica dell’Unione nell’era dell’intelligenza artificiale: la creazione di una competenza europea per la valutazione dei modelli di IA più avanzati, una piattaforma per testarli in scenari di cyber security, nuove misure per accelerare gestione delle vulnerabilità e sicurezza del software open source, investimenti nello sviluppo di strumenti europei di IA e programmi dedicati alla formazione delle competenze.

Il documento potenzia gli strumenti operativi e industriali per sostenere la sicurezza informatica europea in un contesto tecnologico in rapida evoluzione.

È l’inizio di una nuova fase delle politiche europee o il tentativo (in ritardo) di colmare un divario ormai consolidato?

Action Plan europeo su cyber security e AI: i dettagli

L’Action Plan si articola attorno ad alcune principali direttrici di intervento strettamente collegate tra loro.

La Commissione intende innanzitutto rafforzare la capacità europea di valutare i modelli di intelligenza artificiale più avanzati e favorirne un accesso sicuro da parte di autorità pubbliche, operatori di infrastrutture critiche, imprese e centri di ricerca, accompagnando queste iniziative con una piattaforma dedicata alla sperimentazione delle applicazioni di IA in ambito cyber.

Parallelamente, il Piano punta a rendere più efficace la preparazione dell’ecosistema europeo di cyber security, accelerando la gestione delle vulnerabilità, promuovendo l’impiego dell’IA nelle attività di difesa, potenziando la sicurezza del software open source e aggiornando strumenti e procedure di vulnerability management alla luce delle nuove potenzialità offerte dall’intelligenza artificiale.

Una parte rilevante del documento è poi dedicata allo sviluppo di un ecosistema europeo dell’IA applicata alla cyber security attraverso investimenti in ricerca, infrastrutture di calcolo, AI Factories, competenze specialistiche e sostegno alle imprese innovative, con l’obiettivo di ridurre le dipendenze tecnologiche dell’Unione nei confronti di fornitori extraeuropei.

Completa il quadro il potenziamento della cooperazione internazionale con partner e organizzazioni multilaterali per favorire approcci condivisi alla sicurezza dei modelli di IA, alla protezione delle infrastrutture critiche e alla gestione delle vulnerabilità.

Il contesto normativo

L’Action Plan si inserisce nel percorso che la Commissione ha avviato negli ultimi anni per accrescere la sicurezza economica e la competitività tecnologica dell’Unione. Dalla European Economic Security Strategy al Rapporto Draghi, fino al Competitiveness Compass, al Tech Sovereignty Package, al Cloud and AI Development Act e all’AI Continent Action Plan, emerge una linea d’azione coerente che individua nelle tecnologie strategiche, e nell’intelligenza artificiale in particolare, un elemento essenziale per la resilienza e l’autonomia dell’Europa.

Il percorso si amplia, dopo anni di dibattiti sugli aspetti regolatori dell’Intelligenza Artificiale: l’Action Plan affronta l’evoluzione dei modelli di frontiera, che sta incidendo direttamente sulle capacità operative nel dominio cyber.

Perché il Piano arriva proprio ora

La pubblicazione dell’Action Plan è il risultato della convergenza di diversi fattori.

Da un lato, i modelli di intelligenza artificiale stanno acquisendo caratteristiche sempre più avanzate nel coding, nell’analisi del software, nella ricerca delle vulnerabilità e nell’automazione di attività di cyber security.

Dall’altro, tali caratteristiche stanno diventando progressivamente più accessibili grazie all’evoluzione dei modelli open source e all’ingresso di nuovi attori nel mercato.

A ciò si aggiunge la crescente competizione internazionale tra Stati Uniti, Cina e Unione europea nello sviluppo delle tecnologie di frontiera che impone l’esigenza di un quadro regolatorio affiancato da strumenti operativi, investimenti e competenze tecnologiche proprie.

Rispetto al 2021 (proposta dell’AI Act), in pochi anni, il mercato dell’intelligenza artificiale ha conosciuto un’accelerazione senza precedenti. I grandi modelli linguistici sviluppati da OpenAI, Anthropic, Google, Meta e xAI hanno progressivamente ampliato le proprie capacità, e la diffusione di modelli open source sempre più performanti ha reso disponibili funzionalità avanzate a una platea molto più ampia di utilizzatori.

Parallelamente, la Cina ha intensificato gli investimenti nello sviluppo di modelli nazionali, sostenendo una strategia che considera l’intelligenza artificiale una tecnologia fondamentale per competitività economica, sicurezza e modernizzazione industriale.

La competizione internazionale riguarda oggi potenza di calcolo, data center, semiconduttori avanzati, disponibilità di dati, investimenti, ricerca e competenze e l’intelligenza artificiale è diventata uno degli ambiti nei quali si concentra la competizione tecnologica tra le principali economie mondiali, rappresentando ormai un elemento rilevante anche nelle politiche di sicurezza nazionale.

L’Europa, pur avendo assunto un ruolo di primo piano nella definizione del quadro regolatorio, dispone ancora di un numero limitato di modelli di frontiera sviluppati all’interno dell’Unione: da qui la crescente attenzione verso il tema della sovranità tecnologica e della riduzione delle dipendenze strategiche.

La sovranità tecnologica: filo conduttore del Piano

Pur essendo formalmente dedicato alla cyber security, il documento affronta ripetutamente il tema della dipendenza tecnologica.

La Commissione sottolinea che le funzionalità più avanzate di intelligenza artificiale sono oggi sviluppate prevalentemente al di fuori dell’Unione europea, dal momento che l’accesso ai modelli è regolato da decisioni assunte dai rispettivi fornitori, attraverso programmi di accesso selettivi che possono cambiare nel tempo e che rispondono a criteri definiti autonomamente dalle aziende proprietarie.

Questo elemento assume un rilievo particolare nel settore della cybersicurezza: se gli strumenti di difesa dipendono dall’accesso a modelli controllati da soggetti extraeuropei, l’autonomia operativa dell’Unione rischia di essere condizionata da decisioni che sfuggono al controllo delle istituzioni europee.

Pur non mettendo in discussione la legittimità delle misure adottate dai fornitori per limitare possibili utilizzi impropri dei modelli più potenti, il Piano riconosce che il vero tema è l’assenza di procedure trasparenti e condivise che consentano agli operatori europei di sapere con quali criteri sia possibile ottenere l’accesso e con quali garanzie tale accesso possa essere mantenuto nel tempo.

Da questa considerazione nasce una delle iniziative più significative del Piano: la definizione di un European Blueprint for structured access to advanced AI capabilities for cybersecurity purposes, allo scopo di fornire un quadro di riferimento che indichi ai fornitori di modelli come concedere l’accesso a soggetti europei qualificati (autorità pubbliche, operatori di infrastrutture critiche, imprese di cyber security e organismi di ricerca) secondo criteri comuni e orientati alla gestione del rischio.

Il Blueprint costituisce un tentativo di creare un’interlocuzione stabile tra l’ecosistema europeo della cybersicurezza e i principali fornitori di modelli avanzati, riducendo l’incertezza che oggi caratterizza queste forme di accesso.

Dalla regolazione alla capacità operativa

Un altro elemento di rilievo riguarda l’evoluzione dell’approccio europeo alle politiche digitali.

L’Action Plan si affianca all’articolato sistema di regole europeo per disciplinare sicurezza informatica, resilienza delle infrastrutture digitali e utilizzo dell’intelligenza artificiale: AI Act, NIS2, Cyber Resilience Act e DORA rappresentano il fondamento stesso sul quale costruire le nuove iniziative.

Il documento riconosce però implicitamente che la regolazione, da sola, non è sufficiente.

Per utilizzare efficacemente l’intelligenza artificiale nella difesa informatica servono competenze tecniche, infrastrutture di calcolo, competenze specialistiche, ambienti di sperimentazione, investimenti e disponibilità di modelli. Tutti aspetti che non possono essere affrontati esclusivamente attraverso norme giuridiche.

Di particolare rilievo il riferimento alle AI Factories (gli hub europei per lo sviluppo e l’addestramento dell’intelligenza artificiale), e le future Gigafactories europee (destinate a ospitare infrastrutture di calcolo su scala ancora maggiore), considerate dalla Commissione una componente essenziale per disporre di capacità computazionali autonome e ridurre la dipendenza da infrastrutture collocate al di fuori dell’Unione.

Valutare i modelli prima che vengano utilizzati

Una delle iniziative più innovative del Piano riguarda la creazione di una capacità europea dedicata alla valutazione dei modelli di intelligenza artificiale più avanzati.

Constatando che, oggi, la maggior parte delle strutture in grado di condurre valutazioni indipendenti sui modelli di frontiera si trova fuori dall’Unione europea, la Commissione riconosce che l’Europa dispone di limitati strumenti autonomi per analizzare il livello di sviluppo di questi sistemi, comprenderne i possibili impieghi nel dominio cyber e verificare l’efficacia delle misure di mitigazione adottate dagli sviluppatori.

Per questo, senza sostituire i controlli previsti dall’AI Act, intende irrobustirli attraverso la costruzione di un ecosistema europeo di valutatori qualificati e definire criteri comuni per i soggetti che svolgeranno queste attività, promuovere metodologie condivise e finanziare una struttura che possa rappresentare un punto di riferimento per le valutazioni indipendenti.

Il Piano chiarisce infatti che queste valutazioni dovranno contribuire a individuare tempestivamente l’emergere di nuovi rischi sistemici, sia nel settore della cyber sicurezza che in altri ambiti nei quali l’evoluzione dei modelli potrebbe produrre effetti rilevanti.

La cyber security viene quindi considerata uno dei principali contesti nei quali osservare l’evoluzione dei modelli di frontiera, senza esaurire il campo di applicazione di queste attività.

Il ruolo sempre più centrale di ENISA

Accanto alla valutazione trova spazio anche la sperimentazione: ENISA e il Joint Research Centre della Commissione realizzeranno una piattaforma europea attraverso la quale istituzioni, autorità nazionali, operatori di infrastrutture critiche e altri soggetti qualificati potranno testare l’impiego dei modelli di IA in scenari realistici di sicurezza informatica.

Tali prove dovranno svolgersi in ambienti controllati, utilizzando cyber range e altre infrastrutture dedicate, evitando qualsiasi impatto sui sistemi reali.

Dalla lettura del Piano emerge anche un potenziamento delle funzioni attribuite all’Agenzia dell’Unione europea per la cyber sicurezza, che negli ultimi anni ha consolidato il proprio ruolo nella predisposizione di linee guida, nell’assistenza agli Stati membri e nel coordinamento di numerose iniziative previste dalla direttiva NIS2 e dal Cyber Resilience Act.

L’Action Plan amplia ulteriormente questo perimetro, prevedendo il suo coinvolgimento nella definizione del Blueprint europeo per l’accesso ai modelli avanzati, nella gestione della piattaforma di test, nell’elaborazione di raccomandazioni sull’impiego sicuro dell’intelligenza artificiale, nell’aggiornamento delle procedure di gestione delle vulnerabilità e nelle iniziative dedicate al software open source.

ENISA avrà anche il compito di mantenere costantemente aggiornate linee guida e advisory, tenendo conto dell’evoluzione delle minacce e delle caratteristiche dei nuovi modelli.

In un settore caratterizzato da una continua evoluzione tecnologica, mezzi di indirizzo tecnico aggiornabili con maggiore rapidità rispetto alla normativa possono contribuire a colmare il divario tra innovazione e regolazione.

Il problema delle vulnerabilità e il ritardo nella distribuzione delle patch

Una parte significativa del Piano è dedicata alla gestione delle vulnerabilità.

Secondo la Commissione, l’intelligenza artificiale sta modificando profondamente il modo in cui vengono individuati i difetti di sicurezza presenti nei software. I modelli più evoluti sono in grado di analizzare grandi quantità di codice, individuare pattern ricorrenti e suggerire possibili vulnerabilità con una rapidità superiore rispetto agli strumenti tradizionali.

Questo fenomeno offre ai difensori nuovi mezzi di analisi e, allo stesso tempo, rende più semplice per gli attaccanti individuare punti deboli da sfruttare.

La velocità con cui si scoprono nuove vulnerabilità cresce molto più rapidamente della capacità delle organizzazioni di correggerle e il vero collo di bottiglia sta nell’intero processo che porta all’analisi della vulnerabilità, alla definizione delle priorità, allo sviluppo della correzione, alla distribuzione delle patch e alla loro effettiva installazione.

Così il documento dedica ampio spazio al potenziamento delle infrastrutture europee per il vulnerability management. Ad ENISA, come già accennato, il compito di aggiornare il database europeo delle vulnerabilità (EUVD), favorire l’interoperabilità con le altre piattaforme nazionali e internazionali e rivedere le pratiche di Coordinated Vulnerability Disclosure alla luce delle nuove modalità con cui l’intelligenza artificiale consente di individuare i difetti di sicurezza.

Si tratta di una visione fortemente operativa, che prende atto del fatto che la resilienza dipende sempre più dalla capacità concreta delle organizzazioni di ridurre il tempo che intercorre tra la scoperta di una vulnerabilità e la sua correzione.

L’attenzione al software open source

La Commissione ricorda che una quota molto elevata del codice utilizzato nelle infrastrutture critiche europee deriva da componenti open source: la sicurezza di questi progetti è fondamentale perché coinvolge direttamente servizi essenziali, pubbliche amministrazioni e imprese.

Il Piano propone l’avvio di una Critical Open Source Resilience Campaign, iniziativa che punta a individuare i componenti più critici e a concentrare su di essi attività di manutenzione, analisi delle vulnerabilità e sviluppo delle correzioni.

L’elemento originale consiste nel coinvolgimento congiunto di istituzioni, imprese, comunità open source e operatori delle infrastrutture critiche, in un sistema nel quale soggetti pubblici e privati possano contribuire direttamente alla manutenzione dei progetti più rilevanti, mettendo a disposizione competenze, strumenti e, ove possibile, applicazioni basate sull’intelligenza artificiale.

La sicurezza di numerosi servizi essenziali dipende da progetti sviluppati e mantenuti da comunità che dispongono di risorse limitate, quindi, migliorarne l’efficacia della manutenzione significa intervenire su uno degli elementi più delicati della catena di fornitura del software.

Investimenti, competenze industriali e autonomia europea

Accanto agli aspetti operativi, il Piano dedica ampio spazio agli investimenti.

La Commissione richiama i finanziamenti già previsti attraverso Horizon Europe, Digital Europe ed European Innovation Council e annuncia ulteriori iniziative dedicate allo sviluppo di tecnologie europee per la cyber security e l’intelligenza artificiale.

Di particolare rilievo la proposta di sostenere lo sviluppo di modelli europei di frontiera, di sviluppare le già citate AI Factories e di favorire la disponibilità di infrastrutture di calcolo ad alte prestazioni. Investimenti che rispondono a una visione di lungo periodo per ridurre la dipendenza da tecnologie e infrastrutture sviluppate in altre aree del mondo.

La Commissione considera infatti l’intelligenza artificiale una tecnologia strategica la cui disponibilità incide direttamente sulla sicurezza economica e digitale dell’Unione. Da qui l’insistenza sulla necessità di mobilitare capitali pubblici e privati per sostenere imprese europee, startup e iniziative di ricerca, per far fronte agli ingenti costi necessari per lo sviluppo dei modelli di frontiera.

Le ricadute per imprese e pubbliche amministrazioni

Per le organizzazioni il Piano contiene indicazioni rilevanti su più fronti.

La prima riguarda la necessità di accelerare l’adozione delle misure di sicurezza già previste dalla normativa europea: il Piano richiama più volte l’importanza della piena attuazione della direttiva NIS2, del regolamento DORA e del Cyber Resilience Act, quale presupposto per affrontare un contesto caratterizzato da capacità offensive sempre più automatizzate.

La seconda riguarda l’impiego dell’intelligenza artificiale nelle attività quotidiane di difesa e l’incoraggiamento ad utilizzare gli strumenti già disponibili per la ricerca delle vulnerabilità, il monitoraggio continuo, il supporto al patch management e il rilevamento degli incidenti. L’adozione di queste tecnologie viene considerata parte integrante delle misure di preparazione, insieme alle pratiche consolidate di cyber hygiene e di hardening dei sistemi.

La terza riguarda le competenze, e, in particolare, la formazione dei professionisti della cybersicurezza attraverso la Cybersecurity Skills Academy e l’aggiornamento dello European Cybersecurity Skills Framework. Un passaggio coerente con la crescente integrazione tra competenze di sicurezza informatica ed efficacia nell’utilizzo dell’intelligenza artificiale.

Alcune domande aperte

L’Action Plan rappresenta probabilmente uno dei primi segnali di una fase diversa delle politiche digitali europee.

Dopo anni nei quali l’attenzione si è concentrata soprattutto sulla costruzione di un articolato quadro regolatorio, il Piano può essere letto, nel suo intento, insieme alle più recenti iniziative sulla competitività e al cd. Digital Omnibus, come un tentativo di rendere l’azione europea più semplice, più operativa e maggiormente orientata all’attuazione.

Resta però un interrogativo di fondo.

L’Unione arriva in una fase nella quale la competizione sull’intelligenza artificiale è già fortemente concentrata tra Stati Uniti e Cina e nella quale le tecnologie evolvono con una velocità molto superiore ai tempi delle politiche pubbliche.

L’impressione è quella di un’Europa che cerca di recuperare terreno, affiancando agli strumenti regolatori una politica industriale ancora in costruzione. Se questo Piano riuscirà davvero a ridurre il divario dipenderà dalla rapidità con cui le misure annunciate si tradurranno in capacità concrete.

La speranza è che un’iniziativa nata con una marcata vocazione operativa non finisca con l’essere l’ennesimo tassello di una strategia europea che continua a inseguire un’innovazione sviluppata altrove.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x