Il 7 luglio 2026 la Commissione europea ha presentato a Strasburgo l’Action Plan on Cybersecurity and Artificial Intelligence (COM(2026) 577 final), la Comunicazione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni: con questo atto Bruxelles affronta per la prima volta in modo organico il nodo dell’intelligenza artificiale di frontiera applicata alla sicurezza informatica.
Un bel documento, di ampio respiro che affronta la situazione europea sotto il profilo del rapporto tra sistemi di AI e sicurezza informatica.
Il documento non propone nuove norme (verrebbe da dire: meno male…), chiarendo invece che il quadro giuridico esiste già e che il problema è solo farlo funzionare alla velocità con cui l’AI sta cambiando l’economia dell’attacco informatico.
Il tempismo non è poi casuale. Dal 2 agosto 2026 la Commissione eserciterà i poteri di vigilanza e sanzionatori previsti dal Regolamento (UE) 2024/1689 (AI Act) nei confronti dei fornitori di modelli di AI per finalità generali, compresi i modelli con rischio sistemico in ambito cibernetico. E il piano arriva a poche settimane dal Tech Sovereignty Package del 3 giugno 2026, di cui costituisce – a bene vedere – il braccio operativo sul versante della sicurezza.
Vediamo allora cosa prevede, con quali scadenze e con quali conseguenze per imprese e amministrazioni.
Indice degli argomenti
La natura dell’atto e il quadro che mette a sistema
Il COM(2026) 577 final è una Comunicazione che mette a sistema il corpus normativo (decisamente ampio) già adottato e che secondo la Commissione è sufficientemente robusto rispetto all’evoluzione tecnologica e delle minacce.
Il primo elemento è la tempistica.
I pezzi di questo mosaico sono tutti vigenti, ma con calendari applicativi diversi – ed è bene tenerli distinti.
- Il Regolamento (UE) 2024/1689 (AI Act) è in vigore, con gli obblighi per i fornitori di modelli GPAI applicabili dal 2 agosto 2025 e i poteri sanzionatori della Commissione esercitabili dal 2 agosto 2026 (art. 113 AI Act).
- Il Regolamento (UE) 2024/2847 (Cyber Resilience Act) è in vigore, con gli obblighi di segnalazione delle vulnerabilità attivamente sfruttate applicabili dall’11 settembre 2026 (art. 14 CRA) e la piena applicazione fissata all’11 dicembre 2027.
- La Direttiva (UE) 2022/2555 (NIS2) – recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138 – e il Regolamento (UE) 2022/2554 (DORA), applicabile dal 17 gennaio 2025, coprono la gestione del rischio nei settori critici e nel settore finanziario.
- Il Regolamento (UE) 2025/38 (Cyber Solidarity Act) aggiunge i meccanismi operativi di preparazione e risposta agli incidenti su larga scala, inclusa la Riserva europea di cybersicurezza.
Accanto al diritto vigente, il piano richiama due atti che non sono vigenti: la proposta di Cloud and AI Development Act (CADA, COM(2026) 502 final, presentata il 3 giugno 2026 e ora all’esame dei co-legislatori) e la EU Open Source Strategy (COM(2026) 503 final), entrambe parti del Tech Sovereignty Package.
Su questa architettura il piano innesta tre pilastri: rendere l’AI di frontiera valutabile, accessibile e testabile per la cybersicurezza europea; preparare l’ecosistema dei settori critici; scalare le capacità industriali europee.
Il presupposto: l’AI di frontiera cambia l’economia dell’attacco informatico
Il Piano introduce la nozione di frontier AI, intendendo con questa locuzione i modelli di AI più avanzati disponibili o in sviluppo.
Il dato di partenza è duplice.
Da un lato, i modelli di frontiera portano capacità difensive senza precedenti: rilevamento delle minacce, triage, risposta agli incidenti a velocità e scala nuove.
Dall’altro, l’AI è già un elemento caratterizzante del panorama delle minacce (il piano richiama ENISA, Threat Landscape 2025, ottobre 2025): operazioni offensive più automatizzate, scalabili e sofisticate, criminalità informatica inclusa. Nel mezzo, un’osservazione tecnica: secondo la ricerca dello UK AI Security Institute citata dal documento, la durata dei task di cybersicurezza che i modelli più avanzati completano senza intervento umano raddoppia nell’arco di mesi (non di anni). E il CERT-EU, già nell’aprile 2026, avvertiva che l’AI sta cambiando l’economia della scoperta delle vulnerabilità – a vantaggio, per ora, di chi attacca.
Il punto politicamente più delicato, però, è un altro.
Le capacità di frontiera sono sviluppate quasi interamente fuori dall’Unione e la loro disponibilità dipende – parole del piano – da processi «non-transparent, foreign-led».
In sostanza: per la difesa delle proprie infrastrutture critiche l’Europa dipende da strumenti che altri possono concedere, limitare o revocare.
È questa la premessa che trasforma un tema tecnico in una questione politica e di sovranità tecnologica.
Primo pilastro: valutare la frontier AI prima del rilascio sul mercato
Il primo pilastro poggia sull’AI Act.
L’art. 55 del Regolamento (UE) 2024/1689 impone ai fornitori di modelli GPAI con rischio sistemico di valutare e mitigare i rischi, incluso quello di uso improprio in ambito cibernetico; dal 2 agosto 2026 la Commissione potrà esercitare i relativi poteri di vigilanza – richieste di informazioni, accesso al modello per condurre valutazioni, imposizione di misure di mitigazione – fino a sanzioni che possono raggiungere il 3% del fatturato mondiale annuo (art. 101 AI Act) e, in ultima istanza, la richiesta di ritiro del modello dal mercato. A supporto operano il gruppo di esperti scientifici che assiste l’AI Office, canali sicuri di segnalazione e il Codice di buone pratiche per i modelli GPAI (art. 56 AI Act).
La novità operativa è la capacità europea di valutazione.
Oggi – lo riconosce la stessa Commissione – la gran parte dei valutatori terzi che conducono valutazioni pre-rilascio dei modelli ha sede fuori dall’UE. Il piano risponde con una call dedicata per costituire una capacità europea di valutazione dei modelli di AI che includa obbligatoriamente la cybersicurezza, attesa operativa nel 2027 (Key Action 1), e con la definizione di criteri per i valutatori terzi ai fini del Codice di buone pratiche.
Attenzione alla qualificazione giuridica, che il piano stesso precisa: questa capacità non sarà un organismo di valutazione della conformità; supporterà la compliance dei fornitori attraverso le proprie valutazioni indipendenti, alimentando al contempo l’attività regolatoria dell’AI Office.
L’accesso e il testing: il Blueprint europeo e lo scenario dell’accesso revocato
Veniamo ora alla parte più originale del piano.
Alcuni fornitori limitano l’accesso alle capacità cyber avanzate dei propri modelli tramite programmi di accesso strutturato (staged model releases): pratica che la Commissione riconosce giustificabile sul piano della sicurezza, ma spesso opaca quanto a criteri e processi. Il rischio è che autorità competenti e operatori di infrastrutture critiche europei non riescano a usare tempestivamente quelle capacità per rafforzare la propria resilienza.
La risposta è il Blueprint europeo per l’accesso strutturato alle capacità AI avanzate per finalità di cybersicurezza, che la Commissione definirà con ENISA entro il quarto trimestre 2026 (Key Action 2): un documento di indirizzo con i criteri di accesso per le diverse categorie di soggetti (istituzioni UE, autorità nazionali, operatori di infrastrutture critiche, fornitori di cybersicurezza, ricerca), requisiti di sicurezza e un meccanismo per snellire la concessione dell’accesso ai soggetti ammissibili.
Il Blueprint non introdurrà nuovi obblighi per i provider (e quindi l’accesso resta nella disponibilità di soggetti privati extraeuropei e degli ordinamenti in cui operano) ma dovrà includere misure di contingenza per il caso in cui l’accesso a un modello rilevante venga limitato o revocato «by a provider or a third-country authority»: l’Unione, cioè, mette nero su bianco lo scenario in cui il rubinetto della frontier AI venga chiuso dall’esterno – e si prepara, esplorando anche il ricorso ad appalti congiunti per l’acquisto in comune dell’accesso a tali modelli.
Completa il pilastro la piattaforma sicura di testing che ENISA e il Centro comune di ricerca (JRC) organizzeranno entro il quarto trimestre 2026 (Key Action 3): ambienti controllati e simulati (cyber ranges) in cui testare l’impiego dell’AI in casi d’uso di cybersicurezza – scansione delle vulnerabilità, remediation, risposta agli incidenti – senza esporre a rischio le infrastrutture reali. Sul punto il piano è netto: questo testing operativo non è la valutazione dei modelli ai fini della conformità all’AI Act, e richiede competenze e risorse diverse.
Secondo pilastro: fondamentali di sicurezza e gestione delle vulnerabilità alla velocità dell’AI
Il secondo pilastro è più immediatamente rilevante per chi opera nei settori critici.
Due punti chiari:
- La Commissione chiede agli Stati membri di completare con urgenza recepimento e attuazione della NIS2 e di considerare i rischi dell’AI avanzata nell’attività di vigilanza; ai soggetti essenziali e importanti e alle entità finanziarie chiede di rivedere i framework di gestione del rischio anticipando attacchi potenziati dall’AI a frequenza e scala superiori, di ridurre il time-to-patch, di applicare igiene informatica e hardening dei sistemi (anche con approcci zero trust) e di iniziare a usare le capacità AI già disponibili – incluse quelle open source – per individuare vulnerabilità e prevenire attacchi. I rischi specifici dell’AI – data poisoning, model poisoning, attacchi avversari, prompt injection – vanno valutati e mitigati in linea con l’AI Act (per i sistemi ad alto rischio il riferimento è l’art. 15, par. 5, che menziona espressamente le prime tre categorie). ENISA pubblicherà linee guida, raccomandazioni e avvisi a partire dal terzo trimestre 2026 (Key Action 4), con attenzione anche alle PMI; per la sanità il piano richiama espressamente il raccordo con il piano d’azione europeo sulla cybersicurezza di ospedali e prestatori di assistenza sanitaria (COM(2025) 10 final).
- La gestione delle vulnerabilità va aggiornata all’era della scoperta assistita dall’AI (Key Action 5, dal terzo trimestre 2026). ENISA dovrà assicurare che la banca dati europea delle vulnerabilità (EUVD, art. 12, par. 2, NIS2) e la piattaforma unica di segnalazione prevista dal CRA reggano i nuovi volumi; gli Stati membri dovranno aggiornare le politiche nazionali di divulgazione coordinata delle vulnerabilità (CVD) previste dalla NIS2; e l’UE verificherà se gli standard ISO/IEC alla base dei framework CVD siano ancora adeguati alle minacce attuali.
Il vero punto critico è l’open source – e non a caso: il piano riporta che il 98% delle basi di codice contiene componenti open source e che nei settori delle infrastrutture critiche circa l’80% delle basi di codice presenta vulnerabilità ad alto rischio o critiche (dati del rapporto OSSRA 2026 citati dal documento).
Da qui la Critical Open Source Resilience Campaign, in partenza come progetto pilota nel quarto trimestre 2026 (Key Action 6): una mappatura accelerata dei componenti open source critici, schema volontario di sponsorizzazione per affiancare i manutentori dei progetti, catalogo ENISA di servizi basati su AI per patching e remediation, con possibile ricorso alla Riserva europea di cybersicurezza per la scansione delle dipendenze open source nelle infrastrutture critiche.
Terzo pilastro: scalare le capacità europee e trovare le risorse per farlo
Il terzo pilastro affronta il divario industriale.
La mossa più concreta è il Grand Challenge europeo sulla remediation delle vulnerabilità assistita dall’AI, che la Commissione lancerà con il supporto del Centro europeo di competenza per la cybersicurezza (ECCC) e in cooperazione con ENISA entro il quarto trimestre 2026 (Key Action 7).
La diagnosi alla base è lucida: oggi la scoperta di vulnerabilità abilitata dall’AI avanza più rapidamente della loro correzione assistita dall’AI, creando uno squilibrio strutturale a vantaggio degli attaccanti. Il Grand Challenge punta a un sistema capace di assistere i team di sicurezza lungo l’intero ciclo di remediation, da testare in ambienti operativi realistici e da rendere poi disponibile alle organizzazioni europee.
Sul fronte delle risorse, il piano allinea gli strumenti esistenti: 200 milioni di euro entro la fine dell’attuale Quadro finanziario pluriennale su Horizon Europe e Digital Europe per le tecnologie cyber-AI; gli investimenti del Fondo EIC, che entro il 2026 abiliterà investimenti in imprese cyber e AI nell’ambito dei 100 milioni destinati a startup e scaleup del defence tech strategico; l’accesso alla capacità di calcolo delle AI Factories per testare, addestrare e rendere operativi modelli per la resilienza cibernetica su infrastruttura sovrana (Key Action 8); la formazione dei professionisti tramite la Cybersecurity Skills Academy (Key Action 9, quarto trimestre 2026) e l’aggiornamento, da parte di ENISA, dello European Cybersecurity Skills Framework con le competenze AI.
Poi c’è la frontiera vera e propria.
Il piano riconosce che sviluppare capacità sovrane di frontier AI richiederà investimenti per centinaia di miliardi di euro, coperti solo in parte dalla finanza pubblica – e l’ordine di grandezza che separa questa cifra dagli stanziamenti attuali parla da solo.
La risposta prospettata non può che coinvolgere il privato promuovendo la nuova capacità europea di equity per investimenti su larga scala nelle tecnologie strategiche, annunciata con il Tech Sovereignty Package del 3 giugno 2026 e attualmente in consultazione con gli Stati membri e il gruppo BEI: un’ancora di co-investimento pensata per attrarre capitale privato.
A ciò si affiancano la European Frontier AI Initiative con Francia e Germania e l’aggiudicazione, il 19 giugno 2026, del Frontier AI Grand Challenge al consorzio EUROPA per lo sviluppo di un modello di frontiera europeo open source.
Bisogna ammettere che il monito del documento è insolitamente diretto per un atto della Commissione: senza calcolo, modelli e infrastrutture di dati propri, l’Europa resta un utilizzatore vulnerabile di sistemi «made elsewhere that others can suddenly switch off».
La dimensione internazionale: G7, NATO e la convergenza con Washington
Il piano dedica l’ultima parte alla cooperazione internazionale.
Il G7 (gruppi di lavoro Digital&Tech e Cybersecurity, standard e valutazione dei modelli), l’ONU, i dialoghi digitali e cyber bilaterali, il Network of Advanced AI Measurement, Evaluation and Science coordinato dallo UK AISI con l’AI Office, il dialogo strutturato tra governi e grandi sviluppatori di frontier AI e il raccordo con la NATO, anche attraverso il futuro Centro di eccellenza sull’intelligenza artificiale dell’Alleanza.
Il punto merita una considerazione di diritto internazionale.
Il 2 giugno 2026 la Casa Bianca ha adottato l’Executive Order Promoting Advanced Artificial Intelligence Innovation and Security, che – tra l’altro – istituisce una clearinghouse per coordinare con l’industria AI la scoperta delle vulnerabilità e la distribuzione delle patch, e incarica la CISA di facilitare l’accesso ai covered frontier models per agenzie federali, autorità locali e operatori di infrastrutture critiche.
La convergenza di fondo è evidente: su entrambe le sponde dell’Atlantico la frontier AI è ormai trattata come asset strategico di sicurezza nazionale, e l’accesso ad essa come leva di policy. Divergono i metodi: collaborazione volontaria con l’industria a Washington, combinazione di quadro regolatorio vincolante e soft law a Bruxelles.
Valutazioni conclusive
Un piano d’azione non crea obblighi ma fotografa – e in parte anticipa – le aspettative con cui autorità di vigilanza e committenti pubblici valuteranno gli operatori nei prossimi diciotto mesi.
Il calendario, del resto, è fitto: dal 2 agosto 2026 la Commissione esercita i poteri sanzionatori sui fornitori di modelli GPAI; dall’11 settembre 2026 scattano gli obblighi di segnalazione delle vulnerabilità attivamente sfruttate ex art. 14 CRA; tra il terzo e il quarto trimestre 2026 arrivano le linee guida ENISA, il Blueprint, la piattaforma di testing, il Grand Challenge e la campagna open source; l’11 dicembre 2027 il Cyber Resilience Act diventa pienamente applicabile; nel 2027 dovrebbe essere operativa la capacità europea di valutazione dei modelli.
Se vogliamo dare una lettura d’insieme possiamo dire che il COM(2026) 577 final è, prima di tutto, un atto di realismo: l’Unione ammette di dipendere, per la sicurezza delle proprie infrastrutture, da capacità di AI che non controlla, e trasforma questa ammissione in agenda – valutare, accedere, replicare. Per le organizzazioni il messaggio è speculare: la cybersicurezza nell’era dell’AI non è più un adempimento documentale, è governance della supply chain digitale, trasversale a CRA, NIS2, AI Act e – domani – CADA.
Chi la tratta ancora come una lista di controllo scoprirà che gli attaccanti, nel frattempo, hanno cambiato passo.















Partecipa alla community