Synthos Logic/News & Insights/Policy & compliance/L’UE vara il piano d’azione su cybersecurity e AI: cinque mosse per l’era degli attacchi agentici
REF · NEWS-REGO
◉ 2026
Policy & compliance ◉ Approfondimento

L’UE vara il piano d’azione su cybersecurity e AI: cinque mosse per l’era degli attacchi agentici

La Commissione europea presenta il piano d’azione su cybersecurity e AI: valutazione dei modelli prima del mercato, accesso strutturato alle capacità avanzate, ambienti di test comuni e una sfida industriale europea.

Una sala operativa di cybersicurezza in ambito istituzionale europeo: il piano della Commissione punta su valutazione dei modelli, ambienti di test comuni e capacità AI industriali
Una sala operativa di cybersicurezza in ambito istituzionale europeo: il piano della Commissione punta su valutazione dei modelli, ambienti di test comuni e capacità AI industriali

Cinque azioni per un perimetro unico

Il 7 luglio la Commissione europea ha presentato l’Action Plan on Cybersecurity and Artificial Intelligence, il documento che mette in fila la risposta dell’Unione a una constatazione ormai condivisa: l’AI avanzata migliora la difesa e, insieme, amplifica l’offesa — individua vulnerabilità, automatizza gli attacchi, moltiplica scala e velocità degli incidenti. Il piano riunisce Stati membri, industria e organismi europei attorno a cinque azioni coordinate: la valutazione dei modelli avanzati, le condizioni di accesso alle capacità AI più potenti, una piattaforma comune di test, il rafforzamento delle infrastrutture critiche e la crescita delle capacità AI europee dedicate al cyber.

L’impianto si appoggia al corpus normativo in vigore — AI Act, Cyber Resilience Act, direttiva NIS2, Cyber Solidarity Act — e lo salda in un disegno operativo unico. È la prima volta che Bruxelles tratta la cybersicurezza dell’AI e l’AI per la cybersicurezza come due facce dello stesso dossier, con un piano che assegna compiti precisi ad AI Office, ENISA e Joint Research Centre.

La valutazione dei modelli diventa capacità industriale europea

L’AI Act impone che i modelli avanzati siano valutati e i loro rischi analizzati prima dell’ingresso sul mercato europeo. Il piano fa un passo oltre: la Commissione costruirà una capacità europea di valutazione, a supporto della funzione regolatoria dell’AI Office, con l’obiettivo di rafforzare l’assessment indipendente delle capacità e dei rischi dei modelli a livello globale. Un bando dedicato punta a rendere questa capacità operativa entro il 2027.

Per il mercato il messaggio è preciso: la valutazione di sicurezza dei modelli esce dal perimetro esclusivo dei laboratori che li producono e diventa un’infrastruttura pubblica europea. Chi sviluppa o adotta modelli di frontiera dovrà fare i conti con un ecosistema di valutatori terzi finanziato e legittimato dall’Unione — un cambio di equilibrio rispetto al modello attuale, in cui le evidenze di sicurezza arrivano quasi interamente dai produttori stessi.

Accesso strutturato e ambienti di test comuni

Il secondo pilastro riguarda chi difende. La Commissione lavorerà con ENISA a un blueprint europeo per l’accesso strutturato alle capacità AI avanzate a fini di cybersicurezza: condizioni chiare e trasparenti perché organizzazioni pubbliche e private possano usare i modelli più potenti per proteggere le proprie reti. In parallelo, ENISA e il Joint Research Centre creeranno una piattaforma sicura per testare l’AI in ambito cyber, anche in ambienti simulati, portando know-how sull’uso sicuro dell’AI agli operatori dei settori critici.

È la parte del piano che parla più direttamente ai CISO: la differenza fra un esperimento interno e una pratica difendibile davanti a un’autorità di vigilanza passa spesso dalla disponibilità di ambienti di test credibili e di criteri di accesso documentati.

Un timing che parla da solo

Il piano arriva in una settimana che ne certifica l’urgenza. Lo stesso 7 luglio Sysdig ha documentato JadePuffer, il primo attacco ransomware condotto interamente da un agente AI: sfruttamento di una vulnerabilità su Langflow, ricognizione, raccolta di credenziali, movimento laterale e cifratura di un database di produzione, con adattamento in tempo reale agli ostacoli incontrati. Pochi giorni prima SOCRadar aveva collegato la campagna FortiBleed — credenziali raccolte da oltre 430.000 firewall FortiGate nel mondo — alle operazioni ransomware INC e Lynx.

Il quadro delle minacce che il documento descrive è quindi già operativo, altro che scenario di laboratorio. La scommessa della Commissione è che la stessa tecnologia che oggi abbassa la soglia di ingresso per l’attaccante possa alzare, con investimenti e regole d’accesso, la capacità di risposta dei difensori.

Cosa cambia per le imprese italiane

Il piano chiede alle organizzazioni dei settori critici — quelle dentro il perimetro NIS2, in Italia sotto la vigilanza dell’Agenzia per la Cybersicurezza Nazionale — di intensificare cyber hygiene, gestione del rischio e security by design, e di adottare le capacità AI disponibili per accelerare il patching, la prevenzione e la risposta agli incidenti. ENISA accompagnerà la transizione con linee guida, raccomandazioni e una campagna per la messa in sicurezza del software open source critico.

Sul fronte industriale, il piano mette a disposizione le AI Factories e le future Gigafactories, oltre alla leva equity annunciata con il Tech Sovereignty Package, e lancia la EU Grand Challenge on AI for cybersecurity: una competizione che riunirà imprese, ricercatori e organizzazioni per sviluppare soluzioni AI dedicate alla cybersicurezza e far crescere il mercato europeo del settore. Per le imprese italiane del comparto è una finestra di posizionamento concreta, con capitale e infrastrutture di calcolo messe sul tavolo da Bruxelles.

Le prossime scadenze

Tre appuntamenti misureranno la distanza fra il documento e la realtà. Il primo è il bando per la capacità europea di valutazione dei modelli, attesa operativa entro il 2027: la sua dotazione dirà quanto la Commissione crede davvero nell’assessment indipendente. Il secondo è il blueprint ENISA sull’accesso strutturato, che dovrà tradurre un principio condivisibile in criteri applicabili. Il terzo è la Grand Challenge, il cui perimetro rivelerà quanto spazio ci sarà per le imprese europee di media dimensione accanto ai grandi integratori. Sullo sfondo, il calendario dell’AI Act rivisto dal pacchetto di semplificazione — obblighi high-risk differiti al 2 dicembre 2027 — offre alle imprese una finestra di preparazione che il piano invita a usare da subito. La domanda aperta è quale attore, pubblico o privato, porterà per primo la difesa agentica in produzione su scala europea.

Autore

Pablo Liuzzi

Founder, Synthos Logic

Fonti

↑ Torna al feed