Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

normative

AI Act e cyber security: obblighi e opportunità per le imprese italiane

Home Norme e adeguamenti
Indirizzo copiato

Oltre a trasparenza e governance, l’AI Act introduce requisiti cyber stringenti. Le imprese italiane che adottano sistemi di intelligenza artificiale devono garantire log di sistema, gestione sicura dei dati e controlli di human oversight. Misure che possono diventare un fattore di fiducia per clienti e partner, trasformando la conformità normativa in un vantaggio competitivo

Pubblicato il 13 nov 2025
Quando l’IA deve svelarsi: i 3 piani del codice per la trasparenza assoluta; Il rinvio dell'AI Act e semplificazione: i 3 ordini di questioni
Foto: Shutterstock

L’AI Act, approvato dall’Unione Europea nel 2024, segna un passaggio decisivo nella regolamentazione dell’intelligenza artificiale. Non si limita a imporre trasparenza e regole di governance, ma introduce anche obblighi stringenti in materia di cyber security, destinati a incidere profondamente sul modo in cui le aziende italiane sviluppano e adottano sistemi di intelligenza artificiale.

Durante il convegno AI for OCX: le strategie delle aziende italiane organizzato dagli Osservatori Digital Innovation del Politecnico di Milano, l’avvocato Gabriele Franco, counsel di Panetta Studio Legale, ha spiegato come la nuova normativa richieda alle imprese di rivedere le proprie architetture di sicurezza e di costruire processi di gestione del rischio più articolati.

AI e professioni intellettuali, la legge italiana fissa i limiti: la mente resta insostituibile

Cyber security come pilastro dell’AI Act

Secondo Franco, l’AI Act (la normativa sull’uso dell’intelligenza artificiale approvata lo scorso anno dall’Unione europea, che stabilisce regole per lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di IA) distingue chiaramente i ruoli dei fornitori e dei deployer.

Entrambe le figure sono soggette a obblighi specifici, ma per i fornitori la normativa si concentra in particolare sulla progettazione dei sistemi, imponendo standard elevati di sicurezza informatica. «Il fornitore è un dominio nel momento in cui il sistema viene a essere progettato e quindi, come vedremo, obblighi legati alla cyber security, alla gestione dei dati» ha sottolineato l’avvocato.

La logica è quella di prevenire rischi strutturali fin dalla fase di sviluppo, riducendo al minimo la possibilità che vulnerabilità o falle di sicurezza possano compromettere non solo i dati trattati, ma anche la fiducia dei clienti. Gli obblighi includono la conservazione dei file di log, la garanzia di data governance, la documentazione tecnica dettagliata e la predisposizione di meccanismi di controllo umano.

Sistemi ad alto rischio e requisiti di sicurezza

La dimensione della cyber security diventa particolarmente rilevante per i sistemi di intelligenza artificiale classificati come ad alto rischio. Franco ha ricordato che «l’utilizzo di sistemi da parte di banche e assicurazioni può essere in qualche caso ricondotto a sistemi ad alto rischio e quindi sottoposti a un numero davvero alto e complesso di obblighi e requisiti».

In questo scenario, la sicurezza non riguarda soltanto la protezione da accessi esterni o da possibili attacchi, ma si estende alla qualità e alla rappresentatività dei dataset utilizzati per l’addestramento. Un modello che si basa su dati distorti o discriminatori genera infatti un rischio sistemico non solo per l’azienda che lo utilizza, ma per l’intero ecosistema di mercato.

L’AI Act richiede quindi che i dati siano equamente rappresentativi e non discriminatori, integrando così la dimensione etica nella cornice della sicurezza.

Obblighi di trasparenza e cyber security

Un ulteriore tassello riguarda gli obblighi di trasparenza imposti dal regolamento.

I chatbot, i sistemi generativi e i contenuti sintetici devono essere chiaramente etichettati per evitare manipolazioni o sviamenti nella percezione degli utenti. Anche questo aspetto si collega direttamente alla cyber security, perché la capacità di distinguere tra contenuti autentici e contenuti generati artificialmente diventa un presidio contro frodi, phishing e disinformazione.

Franco ha sottolineato che «la previsione in materia di trasparenza riguarda i chatbot, i sistemi generativi e anche i deepfake (video – e non solo – falsi generati dall’intelligenza artificiale che alimentano la disinformazione), che non dobbiamo intendere solo in un’ottica negativa».

L’immagine di un prodotto generata dall’AI e caricata su un eCommerce rientra a pieno titolo in questa categoria e richiede etichettatura esplicita.

Governance della sicurezza e modelli organizzativi

Per garantire la conformità, le aziende non possono limitarsi a interventi isolati. Franco ha evidenziato come la compliance richieda «la costruzione di un sistema interno che parte dalla definizione di un modello di governance». In questo modello la cyber security assume un ruolo trasversale, diventando parte integrante dei processi di controllo e monitoraggio.

La gestione della sicurezza non si esaurisce quindi nell’implementazione di software o infrastrutture tecnologiche, ma si estende alla definizione di politiche aziendali, alla formazione del personale e al monitoraggio costante dei sistemi. In assenza di un presidio diffuso, i rischi legati all’AI possono rapidamente superare le capacità di controllo dell’organizzazione.

Il valore competitivo della sicurezza

La normativa non si limita a introdurre obblighi, ma offre anche un’occasione per distinguersi sul mercato. Franco ha osservato che «poter garantire in maniera preventiva un alto livello di attenzione a questa normativa è sicuramente un vantaggio competitivo».

La cyber security, in questo quadro, diventa una leva strategica. Non è più percepita solo come una barriera protettiva, ma come un asset in grado di generare fiducia e consolidare le relazioni con clienti e partner. Le imprese che dimostrano di avere implementato sistemi sicuri, tracciabilità dei log, controlli sull’uso dei dati e supervisione umana saranno preferite rispetto a competitor meno strutturati.

Le scadenze da rispettare

Il percorso di adeguamento alla normativa è graduale, ma già scandito da tappe precise. Le pratiche vietate sono state bloccate dal febbraio 2024, mentre ad agosto dello stesso anno sono entrati in vigore gli obblighi per i sistemi di intelligenza artificiale a finalità generali. Tutti i requisiti di sicurezza e governance dovranno essere pienamente rispettati entro agosto 2026.

Questa progressività non deve indurre le imprese a rinviare gli interventi. Franco ha sottolineato che l’adeguamento richiede tempo e risorse, perché la compliance all’AI Act «è davvero complessa, onerosa e richiede molto tempo per essere messa in campo». Le aziende devono quindi avviare fin da subito attività di mappatura, assessment e progettazione dei sistemi di sicurezza.

Cyber security e fiducia del mercato

L’esperienza maturata con il Gdpr offre un precedente significativo. Molte imprese, inizialmente riluttanti, hanno poi scoperto che l’adeguamento normativo diventava un argomento di vendita e un segno di affidabilità agli occhi dei clienti. Con l’AI Act lo scenario è analogo: la cyber security non è solo un costo, ma un fattore che incide direttamente sulla competitività.

Franco ha chiarito che «il tema della competenza sull’AI è controllato e questo sta diventando il parametro di scelta dei clienti verso le aziende e delle aziende verso i propri fornitori».

La sicurezza informatica, inserita all’interno del più ampio quadro normativo, diventa quindi un criterio che orienta le decisioni di mercato e che può determinare la solidità delle relazioni commerciali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Giornalista

Leggi anche:

Who's Who

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Sette motivi per cui la cybersecurity ha un'importanza strategica per aziende e nazioni

  • sicurezza aziendale

    Sette motivi che indicano l'importanza strategica della cyber security

    29 Ott 2025

    di Giuditta Mosca

    Condividi
  • Gestione del rischio informatico: strategie efficaci

  • Soluzioni enterprise

    Gestione del rischio informatico: strategie efficaci

    22 Ago 2025

    di Federica Maria Rita Livelli

    Condividi
  • Attacchi Transient Schedule (Tsa) contro le Cpu di Amd: come mitigare il rischio

  • vulnerabilità hardware

    Attacchi Transient Schedule (Tsa) contro le CPU di Amd: ci sono le patch, ma non bastano

    15 Lug 2025

    di Mirella Castigli

    Condividi