Nel 2027, un costruttore italiano di macchine industriali si troverà di fronte a una situazione inedita. La stessa macchina potrebbe doversi conformare al Regolamento Macchine (UE) 2023/1230, al Cyber Resilience Act (UE) 2024/2847 e, se integra componenti di intelligenza artificiale, all’AI Act (UE) 2024/1689. Tre regolamenti con logiche diverse, procedure di conformità distinte e scadenze non coincidenti: il primo entra in vigore a gennaio 2027, il CRA a dicembre 2027, l’AI Act in modo scaglionato tra agosto 2026 e 2027.
Dire che si tratta di un quadro complesso è corretto ma insufficiente. Il problema reale è più specifico: questi tre regolamenti si sovrappongono sulla stessa macchina con modalità che non sono state del tutto elaborate né a livello interpretativo né, soprattutto, a livello di norme tecniche.
Indice degli argomenti
Tre regolamenti, tre logiche diverse sullo stesso macchinario
Il Regolamento Macchine ha al centro la sicurezza funzionale: proteggere l’operatore dai pericoli (soprattutto di tipo fisico) generati dalla macchina. Tuttavia, già in questo quadro compaiono due requisiti espliciti sulla cybersicurezza (agli articoli 1.1.9 e 1.2.1 dell’allegato III) che riguardano la protezione del software di controllo da manipolazioni esterne. Non sono requisiti nuovi nella logica del regolamento, ma segnalano che sicurezza funzionale e cybersicurezza non sono più mondi separati.
Il CRA (Cyber Resilience Act) parte da un’angolazione opposta. Esso mira infatti alla cybersicurezza dei prodotti digitali, intesa come protezione da vulnerabilità e attacchi informatici lungo l’intero ciclo di vita del prodotto. I macchinari industriali, in quanto prodotti con elementi digitali connessi, rientrano nel suo campo di applicazione. Per la grande maggioranza delle macchine varrà la categoria dei cosiddetti default PDE — prodotti con elementi digitali generici — per i quali è sufficiente l’autodichiarazione del fabbricante. Tuttavia, i requisiti sostanziali non sono banali: il CRA chiede un cybersecurity risk assessment con focus su vulnerabilità e incidenti, obblighi di gestione e notifica delle vulnerabilità per l’intero periodo di assistenza del prodotto, e una documentazione tecnica che il Regolamento Macchine non contempla. In sintesi, la conformità ai requisiti di cybersicurezza del CRA può facilitare il rispetto degli articoli 1.1.9 e 1.2.1 del Regolamento Macchine, ma questa sinergia deve essere dimostrata dal fabbricante e non si produce automaticamente.
L’AI Act aggiunge una terza dimensione. Innanzitutto, bisogna considerare che la norma definisce sistema di intelligenza artificiale qualsiasi sistema che elabora input per generare output come previsioni, raccomandazioni o decisioni in grado di influenzare ambienti fisici o virtuali, designando dunque un campo di applicazione molto ampio. Rispetto ai macchinari industriali, una macchina che integra un sistema di intelligenza artificiale può qualificarsi come sistema AI ad alto rischio – e, in quel caso, la valutazione di conformità deve avvenire tramite ente certificato. In questa situazione si applica l’articolo 43 dell’AI Act, che stabilisce una forma di twin compliance: nello specifico, si seguono le procedure del Regolamento Macchine, ma vanno integrate con la valutazione della documentazione tecnica specifica richiesta dall’AI Act. Non si tratta di duplicare la conformità, ma di arricchirla considerando gli impatti sui diritti fondamentali e dei rischi specifici dei sistemi AI, che la sicurezza funzionale tradizionale non considera.
Tre risk assessment con focus diversi, dunque: pericoli fisici per il Regolamento Macchine, vulnerabilità informatiche per il CRA, rischi e impatti AI per l’AI Act. Farli dialogare richiede un metodo. Quel metodo, oggi, non ha ancora delle norme tecniche di riferimento.
Il vero problema: l’assenza di norme tecniche
I regolamenti europei di prodotto non prescrivono soluzioni tecniche, ma definiscono requisiti essenziali. La traduzione di quei requisiti in specifiche verificabili è affidata alle norme armonizzate, elaborate dagli enti di normazione europei. È attraverso queste norme che un costruttore di macchinari può dimostrare la conformità in modo oggettivo e riconoscibile.
Tuttavia, ad oggi, le norme tecniche non sono pronte. Per il CRA sono previste quaranta norme armonizzate, con consegne già slittate oltre il terzo trimestre 2026. Per l’AI Act, non esistono ancora le norme che dovrebbero tradurre in pratica due degli obblighi centrali del regolamento: come valutare la conformità di un sistema AI e come gestirne i rischi. Per il Regolamento Macchine, le oltre ottocento norme verticali di prodotto sono in aggiornamento per il 2026-2027, e la norma quadro EN 50742 (quella che disciplinerà il rapporto tra sicurezza funzionale e cybersicurezza) è ancora in elaborazione.
Un’azienda che volesse avviare oggi un percorso strutturato di compliance si trova in una condizione oggettivamente difficile, in quanto le tre logiche normative che deve far dialogare non hanno ancora trovato una traduzione tecnica comune e condivisa.
Il Digital Omnibus non risolve le zone grigie
In questo contesto si inserisce il cosiddetto Digital Omnibus, il pacchetto di modifiche che la Commissione Europea sta valutando e che potrebbe concedere proroghe di 12-16 mesi per alcuni obblighi di AI Act e CRA. La tentazione di interpretarlo come un segnale che c’è più tempo è comprensibile, ma sbagliata. Il Digital Omnibus sposta semplicemente le scadenze, ma non risolve le zone grigie interpretative e non semplifica la sovrapposizione tra i tre regolamenti. È, semmai, la conferma che i tempi erano stati fissati con eccessivo ottimismo.
Cosa fare in condizioni di incertezza normativa
La risposta all’incertezza non può essere l’attesa; è necessaria una strategia che separa ciò che è già definito da ciò che non lo è, e agisce di conseguenza.
Sul fronte del Regolamento Macchine, il percorso è relativamente chiaro: i requisiti essenziali esistono, molte norme armonizzate sono in aggiornamento, e le aziende hanno esperienza consolidata elaborata con la precedente Direttiva Macchine.
Rispetto al CRA, la priorità è capire se e come i propri prodotti rientrano nel campo di applicazione, identificare la categoria di rischio applicabile e avviare una cybersecurity risk assessment. Nell’attesa delle norme armonizzate, è possibile fare riferimento agli standard internazionali della serie ISA/IEC 62443, che il CRA stesso riconosce come punto di riferimento tecnico.
Nel frattempo, sul fronte dell’AI Act, il primo passo è capire se e quali componenti presenti nei propri prodotti ricadono nella definizione di “sistema AI” e nei criteri che determinano l’alto rischio.
Le norme tecniche arriveranno, ma le aziende che nel frattempo avranno costruito le competenze, mappato i propri prodotti e avviato i processi interni necessari si troveranno in una posizione molto più solida di chi avrà aspettato che tutto fosse chiaro prima di muoversi.
