Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

gestione del rischio

Regolamento macchine: perché il software diventa centrale nella sicurezza

Home Whitepaper Sicurezza
Partecipa al dibattito
Indirizzo copiato

Il Regolamento UE 2023/1230 ridefinisce la sicurezza delle macchine industriali, integrando software, connettività e rischio cibernetico nei requisiti essenziali. Supera la Direttiva 2006/42/CE con un modello unitario di gestione del rischio valido lungo l’intero ciclo di vita del prodotto

Pubblicato il 21 apr 2026
Aggiungi tra i preferiti su Google
Claudio Caldarola

avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie

sicurezza dei sistemi cyber-fisici
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il Regolamento della UE 2023/1230, Machinery Regulation, regolamento sulle macchine, rappresenta una trasformazione strutturale del diritto europeo della sicurezza dei prodotti industriali.

Per comprenderne la portata, è necessario partire dal contesto normativo che lo ha generato e dagli obiettivi che il legislatore europeo ha inteso perseguire con la sua adozione.

Regolamento macchine, software e IA: le nuove regole per le imprese

Il Regolamento UE 2023/1230 sulle macchine: una rivoluzione normativa per la sicurezza digitale

Con l’abrogazione della Direttiva 2006/42/CE, il legislatore europeo introduce un sistema normativo direttamente applicabile, uniforme e orientato alla gestione integrata dei rischi derivanti dalla trasformazione digitale delle macchine.

Safety e security: superata la distinzione tradizionale

Per la prima volta, infatti, i requisiti essenziali di sicurezza e tutela della salute, EHSR, Essential Health and Safety Requirements, includono espressamente i rischi derivanti da software, connettività, aggiornamenti remoti, interazioni digitali e alterazioni deliberate da parte di terzi. Il risultato è il superamento della distinzione tradizionale tra la sicurezza funzionale e la sicurezza digitale, attraverso un modello unitario di gestione del rischio.

Macchine digitali e nuovi rischi: perché la vecchia direttiva non bastava più

Il settore delle macchine costituisce uno dei pilastri industriali dell’economia dell’Unione europea. Tuttavia, l’evoluzione tecnologica ha trasformato profondamente la natura delle macchine, che oggi operano come sistemi digitali complessi, integrati, interconnessi e progressivamente autonomi.

Le macchine di nuova generazione sono in grado di elaborare informazioni in tempo reale, adattarsi a contesti variabili, operare in ambienti non strutturati, apprendere nuove modalità operative e interagire con altri sistemi. Queste caratteristiche introducono nuove categorie di rischio che ovviamente la disciplina precedente non era progettata per affrontare.

Dal recepimento divergente all’applicazione diretta: il passaggio alla forma di regolamento

Il passaggio dalla direttiva al regolamento risponde alla necessità di garantire uniformità normativa. Il regolamento introduce obblighi direttamente applicabili, elimina i margini di recepimento divergente e rafforza la certezza giuridica per gli operatori economici. La disciplina si inserisce nel quadro del New Approach e nel sistema europeo di valutazione della conformità, mantenendo la struttura basata su requisiti essenziali, norme armonizzate, presunzione di conformità e marcatura CE.

Il regolamento ridefinisce, inoltre, l’ambito di applicazione della disciplina. La sicurezza delle macchine non riguarda più soltanto la progettazione meccanica o elettrica, ma comprende anche il software, i dati e le comunicazioni. In questo contesto, la nozione di componente di sicurezza viene estesa ai componenti digitali, compreso il software che svolge le funzioni di sicurezza. Se il malfunzionamento di un software può compromettere la sicurezza delle persone, esso deve essere considerato senza dubbio un componente di sicurezza a tutti gli effetti.

Software e componenti digitali: la nuova frontiera dei requisiti essenziali di sicurezza

Questa ridefinizione ha implicazioni rilevanti per i modelli di progettazione e distribuzione delle macchine. Il software immesso separatamente sul mercato e destinato a svolgere funzioni di sicurezza diventa soggetto agli stessi obblighi dei componenti fisici. Per converso, una macchina priva del solo software applicativo resta qualificata come macchina, con conseguenze rilevanti per la valutazione della conformità e la distribuzione dei sistemi industriali.

Sistemi autonomi e apprendimento automatico: quando serve la valutazione di terzi

Il regolamento, dunque, individua una categoria di prodotti con un profilo di rischio più elevato. Sicché, i sistemi dotati di comportamento evolutivo che svolgono funzioni di sicurezza, caratterizzati da autonomia operativa, dipendenza dai dati, opacità dei processi decisionali e connettività, sono idonei a determinare un incremento tanto della probabilità quanto della gravità dei danni. Conseguentemente, per tali sistemi è richiesta la valutazione della conformità da parte di soggetti terzi, qualora il comportamento evolutivo derivi dall’impiego di tecniche di apprendimento automatico. Questa previsione riflette il riconoscimento della complessità e della imprevedibilità dei sistemi autonomi.

La valutazione del rischio come processo dinamico: dall’evento singolo al ciclo di vita

La valutazione del rischio costituisce il metodo centrale del regolamento. Il fabbricante deve identificare i pericoli, stimare i rischi, valutarli e adottare misure di riduzione secondo una gerarchia di priorità. Il regolamento estende, tuttavia, la valutazione del rischio anche agli aggiornamenti del software, alle modifiche del comportamento, alle interazioni con altri sistemi e all’intero ciclo di vita del prodotto. La sicurezza assume, pertanto, la natura di processo dinamico e continuo.

Il regolamento richiede inoltre di considerare le interazioni tra macchine, quasi macchine e sistemi integrati. Le macchine moderne operano sempre più come parte di sistemi coordinati. La sicurezza deve, quindi, essere valutata considerando le dipendenze e le interazioni tra componenti e sistemi. Questa impostazione introduce una visione sistemica della sicurezza industriale.

Rischio cibernetico e sicurezza funzionale: un’integrazione normativa senza precedenti

Il rischio cibernetico viene integrato nella sicurezza funzionale. I rischi derivanti da azioni dolose di terzi devono essere considerati nella valutazione del rischio nella misura in cui possano generare situazioni pericolose. La sicurezza digitale non è disciplinata come materia separata, ma viene incorporata nei requisiti essenziali di sicurezza. Questo approccio supera la distinzione tradizionale tra safety e security.

Le sezioni 1.1.9 e 1.2.1 dell’allegato III: l’architrave della sicurezza digitale delle macchine

In tale architettura normativa, le sezioni 1.1.9 e 1.2.1 dell’allegato III assumono una funzione sistemica centrale, poiché rappresentano il punto di integrazione giuridica tra la sicurezza funzionale e il rischio digitale all’interno dei requisiti essenziali di sicurezza e tutela della salute, EHSR. Non si tratta di prescrizioni accessorie, ma di disposizioni che ridefiniscono il perimetro stesso della sicurezza delle macchine, introducendo obblighi espliciti di protezione dall’alterazione digitale e di affidabilità dei sistemi di controllo in presenza di minacce intenzionali o accidentali.

Attraverso tali disposizioni, il legislatore europeo riconosce che la sicurezza delle macchine non può più essere limitata alla prevenzione dei guasti tecnici, ma deve comprendere la protezione dell’integrità del software, dei dati e delle comunicazioni rilevanti per la sicurezza. Dunque, le sezioni 1.1.9 e 1.2.1 diventano l’architrave normativa della sicurezza digitale delle macchine, poiché traducono l’integrazione tra safety e cibersicurezza in obblighi giuridicamente vincolanti per il fabbricante e direttamente collegati alla dimostrazione della conformità agli EHSR.

La centralità di tali disposizioni emerge anche nel meccanismo della presunzione di conformità, che riconosce un ruolo specifico alle certificazioni di cibersicurezza proprio con riferimento ai requisiti relativi alla protezione dall’alterazione e alla sicurezza dei sistemi di controllo. In questo modo, il regolamento individua, sempre nelle predette sezioni, il nucleo normativo attraverso il quale la sicurezza digitale viene incorporata stabilmente nel sistema europeo della sicurezza delle macchine.

Protezione dall’alterazione e sistemi di controllo: obblighi concreti per i fabbricanti

I requisiti relativi alla protezione dall’alterazione introducono obblighi specifici. Le macchine devono essere progettate in modo che la connessione con dispositivi esterni o remoti non generi situazioni pericolose. I componenti hardware e software critici per la sicurezza devono essere protetti da alterazioni accidentali o intenzionali. Le macchine devono inoltre essere in grado di individuare il software critico, proteggere i dati rilevanti per la sicurezza e raccogliere evidenze delle modifiche.

Il regolamento introduce anche obblighi di tracciabilità. Le modifiche al software di sicurezza devono essere registrate. Le macchine devono essere in grado di fornire informazioni sul software installato e sulla configurazione di sicurezza. Questi requisiti introducono un approccio basato sulla gestione del ciclo di vita del software.

I sistemi di controllo devono essere progettati per evitare situazioni pericolose e resistere a influenze esterne, comprese azioni deliberate di terzi. I limiti delle funzioni di sicurezza devono essere definiti nella valutazione del rischio e non devono essere modificabili se ciò può generare pericolo. Il regolamento introduce, inoltre, obblighi di registrazione dei dati relativi alle modifiche del software e delle configurazioni di sicurezza.

Per i sistemi autoevolutivi, il regolamento introduce requisiti aggiuntivi. I sistemi non debbono generare azioni eccedenti i limiti definiti, i dati afferenti alle decisioni in materia di sicurezza sono soggetti a registrazione e deve essere assicurata la possibilità di intervento finalizzata alla correzione del comportamento della macchina. Tale disciplina introduce il principio della correggibilità applicabile alle architetture autonome.

Presunzione di conformità e certificazione di cibersicurezza: il ruolo del Cybersecurity Act

La presunzione di conformità continua a basarsi sulle norme armonizzate. I prodotti conformi alle norme armonizzate pubblicate nella Gazzetta ufficiale dell’Unione europea sono considerati rispondenti ai requisiti essenziali previsti dalle medesime. In mancanza di tali strumenti normativi, la Commissione può adottare specifiche comuni. Il ricorso a tali soluzioni permane su base volontaria, pur agevolando la dimostrazione della conformità.

Il regolamento introduce, inoltre, la possibilità di fondare la presunzione di conformità sulla certificazione di cibersicurezza prevista dal Regolamento (UE) 2019/881, Cybersecurity Act, CSA. Le macchine certificate nell’ambito di un sistema di certificazione della cibersicurezza possono essere considerate conformi ai requisiti relativi alla protezione dall’alterazione e alla sicurezza dei sistemi di controllo nella misura in cui tali requisiti siano coperti dalla certificazione. Questo meccanismo collega la sicurezza delle macchine alla certificazione di cibersicurezza.

Machinery Regulation e Cyber Resilience Act: due regolamenti complementari

Il rapporto con il Regolamento (UE) 2024/2847, Cyber Resilience Act, CRA, determina un ulteriore livello di integrazione normativa, poiché tale disciplina stabilisce requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Il Regolamento (UE) 2023/1230, Regolamento macchine, Machinery Regulation, MR, considera, invece, la sicurezza digitale nella misura in cui essa sia suscettibile di generare rischi per l’incolumità fisica. Le due discipline operano, pertanto, su piani complementari.

Le macchine con componenti digitali possono rientrare nell’ambito di entrambi i regolamenti. La conformità ai requisiti del Cyber Resilience Act, CRA, può facilitare la conformità ai requisiti digitali del Machinery Regulation, in particolare per la protezione dall’alterazione e la sicurezza dei sistemi di controllo.

Valutazione della conformità e fascicolo tecnico: la documentazione come strumento strategico

Il regolamento disciplina, inoltre, le procedure di valutazione della conformità. Per le categorie a rischio elevato sono previste procedure con intervento di organismi notificati. Per altri prodotti è possibile utilizzare il controllo interno della produzione. La documentazione tecnica assume un ruolo centrale nella dimostrazione della conformità.

Il fascicolo tecnico deve includere la valutazione del rischio, la logica di progettazione del software di sicurezza, le misure di protezione e la tracciabilità delle modifiche. La documentazione tecnica diventa uno strumento essenziale per la dimostrazione della conformità lungo il ciclo di vita del prodotto.

Una criticità applicativa riguarda la disponibilità delle norme armonizzate per i requisiti digitali. Fino alla pubblicazione di tali norme, i fabbricanti dovranno dimostrare la conformità attraverso soluzioni tecniche documentate nel fascicolo tecnico. Questo scenario richiede competenze tecniche e giuridiche avanzate.

Il coordinamento tra diversi atti normativi rappresenta un ulteriore elemento di complessità. Quando si applicano più atti giuridici dell’Unione, è possibile redigere una dichiarazione di conformità unica. Questo consente di ridurre gli oneri amministrativi e migliorare la coerenza della documentazione.

Un nuovo paradigma per l’industria europea: sicurezza come processo evolutivo e continuo

Il Regolamento (UE) 2023/1230 introduce, dunque, un nuovo paradigma della sicurezza delle macchine, le quali assumono la configurazione di sistemi digitali complessi, interconnessi e dinamici. La sicurezza funzionale e la sicurezza digitale vengono integrate in un unico modello di gestione del rischio. Il risultato è un sistema normativo che riconosce la natura evolutiva delle macchine moderne e introduce strumenti per gestire i rischi lungo l’intero ciclo di vita.

Il regolamento definisce una nuova architettura della sicurezza industriale europea, basata sulla convergenza tra sicurezza funzionale e resilienza digitale, sulla valutazione del rischio dinamica e sulla documentazione tecnica come strumento centrale di conformità. In tale prospettiva, la sicurezza delle macchine cessa di essere un requisito statico e si configura come un processo evolutivo, integrato e continuo, destinato ad accompagnare l’intero ciclo di vita dei sistemi industriali digitali. Ne deriva un modello regolatorio che anticipa le trasformazioni tecnologiche, rafforza la responsabilità dei fabbricanti e consolida la sicurezza digitale quale elemento strutturale dell’industria europea del futuro.

Riferimenti normativi

Regolamento (UE) 2023/1230 del Parlamento europeo e del Consiglio, del 14 giugno 2023, relativo alle macchine e che abroga la direttiva 2006/42/CE del Parlamento europeo e del Consiglio e la direttiva 73/361/CEE del Consiglio, GUUE L 165 del 29 giugno 2023.

Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (Cyber Resilience Act, CRA), e che modifica i regolamenti (UE) 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828, GUUE L 2024/2847 del 20 novembre 2024.

Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA e alla certificazione europea della cibersicurezza (Cybersecurity Act, CSA), GUUE L 151 del 7 giugno 2019.

Direttiva 2006/42/CE del Parlamento europeo e del Consiglio, del 17 maggio 2006, relativa alle macchine e che modifica la direttiva 95/16/CE, GUUE L 157 del 9 giugno 2006.

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (NIS 2), GUUE L 333 del 27 dicembre 2022.

Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, GUUE L 316 del 14 novembre 2012.

Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato, GUUE L 218 del 13 agosto 2008.

Decisione n. 768/2008/CE del Parlamento europeo e del Consiglio, del 9 luglio 2008, relativa a un quadro comune per la commercializzazione dei prodotti, GUUE L 218 del 13 agosto 2008.

Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti, GUUE L 169 del 25 giugno 2019.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Claudio Caldarola
avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie
Claudio Caldarola, avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie, con competenze sulla regolamentazione delle nuove tecnologie, protezione dei dati, governance digitale ed etica dell’intelligenza artificiale. Presidente e fondatore, dal 2018, di GP4AI – Global Professionals for Artificial Intelligence aps ets (www.gp4ai.com), svolge attività accademica come docente in master universitari e programmi di alta formazione. National PhD Student in Artificial Intelligence Health and Life Sciences presso l’Università Campus Bio-Medico di Roma. La sua attività si concentra sul Regolamento europeo sull’intelligenza artificiale, sulla compliance algoritmica, sui criteri ESG applicati ai sistemi intelligenti, sui neurodiritti legati alle interfacce cervello-computer (BCI), sull’agentic AI, e sulle implicazioni di governance, policy e geopolitica dell’IA, con un approccio integrato che coniuga diritto, tecnologia e strategie di impatto sistemico. Iscritto alla Società Italiana di Intelligence – Socint. In precedenza è stato componente della Commissione Informatica dell’Ordine degli Avvocati di Bari. Dal 2025 cura la rubrica “IA & Legal” su ItaloRED.it. Riconosciuto esperto nel settore dell’IA, è regolarmente invitato come relatore in contesti accademici, istituzionali e professionali, nonché punto di riferimento su tematiche legate all’innovazione tecnologica, anche sui media.
Seguimi su

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • intelligenza-artificiale-nella-pubblica-amministrazione-agenda-digitale; document management system; AI project management shadow ai pa data driven osmosi cognitiva

  • osmosi cognitiva

    In regola col GDPR, eppure esposti: il rischio invisibile dell'AI in azienda

    31 Mar 2026

    di Valeria Marina Affer e Cristiano Redona

    Condividi
  • trasparenza AI generativa

  • intelligenza artificiale

    Processi enterprise: così la genAI riduce attese ed errori

    19 Feb 2026

    di Andrea Benedetti

    Condividi
  • intelligenza artificiale pmi startup (1) AI in azienda fiducia nell’intelligenza artificiale ia nelle pmi

  • strategia

    IA nelle PMI: perché l’Italia può (e deve) accelerare

    16 Ott 2025

    di Massimo Dionisi

    Condividi
0
Lascia un commento, la tua opinione conta.x