la strategia

Piano d’azione cyber e AI, cosa c’è nell’agenda europea per ridurre le dipendenze



Indirizzo copiato

Il piano d’azione europeo su cybersicurezza e intelligenza artificiale arriva in una fase cruciale per la sovranità tecnologica dell’UE. Tra AI Act, modelli di frontiera, dipendenze strategiche e investimenti, Bruxelles prova a rafforzare resilienza, accesso sicuro e capacità industriale

Pubblicato il 17 lug 2026

Stefano da Empoli

presidente Istituto per la Competitività (I-Com) e co-founder Techno Polis



parlamento UE sovranità digitale; tassa pacchi; Passaporto Digitale: proteggere il valore
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


Il piano d’azione sulla cybersicurezza e l’intelligenza artificiale della Commissione europea si inserisce in una strategia più ampia sulla sovranità digitale. La posta in gioco riguarda accesso ai modelli IA di frontiera, sicurezza, dipendenze strategiche e capacità europea di competere.

Perché il piano arriva al momento giusto

Il piano, presentato il 7 luglio 2026, non è solo tempestivo, perché interviene a metà strada tra la presentazione del pacchetto sulla sovranità tecnologica europea, avvenuta lo scorso 3 giugno, e la data, 2 agosto 2026, a partire dalla quale la Commissione eserciterà i poteri di vigilanza e applicazione previsti dall’AI Act per garantire un’effettiva supervisione dei sistemi di IA e dei modelli di IA general purpose, compresi quelli che presentano rischi sistemici connessi alla cibersicurezza.

Ma anche e per certi versi soprattutto per quello che sta avvenendo fuori dai confini dell’Unione europea, con l’amministrazione Trump che ha bloccato e poi temporaneamente ristretto ai soli cittadini americani l’accesso ai modelli IA più avanzati di Anthropic, Claude Fable 5 e Mythos 5, proprio per la loro capacità di trovare e sfruttare vulnerabilità software e per la possibilità di forzare i sistemi di sicurezza dei modelli, di fatto manipolandoli.

E con le principali società USA che, più o meno su suggerimento del proprio governo, prediligono organizzazioni del loro paese per testare i modelli più sensibili prima di renderli disponibili a tutti. Nel frattempo, è notizia di queste settimane che la Cina, per motivi in parte analoghi, stia valutando di restringere l’accesso di soggetti esteri ai propri modelli, anche quelli open weight. Che grazie alla convenienza di costo unita alla rapida riduzione del gap tecnologico con quelli americani più avanzati ma anche alle difficoltà di accesso a questi ultimi stanno incominciando a surclassarli a livello mondiale in termini di uso.

Secondo gli ultimi dati forniti da OpenRouter e pubblicati in una recentissima inchiesta del Financial Times, se fino all’inizio di quest’anno la distanza era ancora abissale, da maggio in poi i modelli cinesi di frontiera hanno preso il volo rispetto a quelli americani. Basti pensare che tra fine giugno e inizio luglio di quest’anno il consumo misurato in tokens si poneva in un rapporto di 5 a 1. Molti player europei ma anche americani hanno deciso di passare a modelli cinesi che hanno anche il considerevole vantaggio che, essendo open weight, possono essere affinati e dunque adattati alle esigenze dell’utilizzatore e fatti girare localmente sui server aziendali anziché su quelli dei provider.

Cyber e intelligenza artificiale, perché il piano UE arriva in un momento decisivo

In tutto questo, il Piano d’azione europeo sulla cybersicurezza e intelligenza artificiale naturalmente non può fare miracoli bensì individuare nonché promuovere percorsi per aiutare l’UE a uscire dalla posizione di debolezza nella quale si trova. Il documento enfatizza già nell’incipit che l’Europa si è dotata degli strumenti giuridici fondamentali, con l’AI Act ma anche con i diversi provvedimenti riguardanti la cybersicurezza, dal CRA alla NIS2 e al regolamento DORA.

Ma con necessario realismo denuncia che il Brussels effect non basta, allorché ammette che le capacità di frontiera in ambito IA “sono sviluppate soprattutto al di fuori dell’UE e la loro disponibilità è spesso determinata da processi non trasparenti guidati da soggetti stranieri. La conoscenza e l’accesso a tali capacità sono pertanto una questione non solo di resilienza digitale, ma anche di sovranità tecnologica europea. Per preservare questa sovranità, l’UE deve assicurare che l’adozione di capacità avanzate di cibersicurezza abilitate dall’IA non crei nuove dipendenze strategiche. Al tempo stesso, l’Europa deve accelerare il rafforzamento della propria resilienza per tenere il passo con un panorama delle minacce in rapida evoluzione.” Sono dunque queste le basi dalle quali si irradia il piano d’azione. Più che di nuova regolamentazione c’è bisogno di azioni concrete per dare un valore sostanziale al concetto di sovranità tecnologica.

Modelli IA di frontiera, accesso e sicurezza: il nodo europeo

In questo senso, nonostante i lodevoli sforzi, la parte forse meno convincente del Piano d’azione, che prevede anche un insieme di azioni previste per aumentare le competenze, migliorare la gestione delle vulnerabilità e rafforzare i partenariati internazionali con i Paesi like-minded, è proprio quella che si propone di rendere i modelli IA di frontiera sicuri, accessibili e dispiegabili per la cybersicurezza europea. In particolare, nel tentativo certamente apprezzabile ma dalle prospettive piuttosto incerte di successo di spingere i provider dei modelli più avanzati con capacità cyber, al momento quasi esclusivamente extra-europei, a rilasciarli sul mercato europeo in condizioni di sicurezza e senza ritardi.

Il ruolo dei soggetti affidabili nei test preliminari

Ormai si è peraltro capito che le due condizioni vanno a braccetto. Un pre-accesso ristretto ad alcuni soggetti affidabili può infatti aiutare a mitigare i rischi e a correggere eventuali difetti. Il piano, partendo dal presupposto di non disporre di strumenti giuridici cogenti che obblighino i provider, mette in campo tre strumenti principali per incentivarli a farlo. Da un lato punta a costruire un ecosistema con capacità di valutazione dei modelli IA di frontiera con rischi sistemici e soggetti valutatori indipendenti che lo popolino. Per raggiungere questo obiettivo, la Commissione lancerà una call dedicata.

Dal Blueprint alla piattaforma di test: le prime misure operative

Prima ancora di questo, già nel quarto trimestre 2026, dovrebbero vedere la luce due altre iniziative. Innanzitutto, in collaborazione con Enisa, la Commissione svilupperà un Blueprint per l’accesso strutturato alle capacità avanzate di IA per finalità di cibersicurezza, cioè un documento di orientamento volto a chiarire come i fornitori di IA dotata di capacità cibernetiche avanzate possano concedere l’accesso alle organizzazioni europee, comprese le imprese, contribuendo così alla mitigazione dei rischi informatici.

L’European Blueprint includerà i criteri da prendere in considerazione per concedere l’accesso alle diverse tipologie interessate di attori europei (ad esempio istituzioni dell’UE, autorità degli Stati membri, operatori di infrastrutture critiche, fornitori di cibersicurezza e soggetti della ricerca). Dovrebbe inoltre includere criteri di sicurezza affinché l’accesso concesso non generi rischi indebiti, nonché un meccanismo per semplificare la concessione dell’accesso ai soggetti ammissibili. Tale meccanismo dovrebbe inoltre facilitare la condivisione di conoscenze tra le organizzazioni dell’UE cui è stato concesso l’accesso a un determinato modello o sistema.

Una piattaforma europea sicura per i casi d’uso cyber

Inoltre, sempre entro il quarto trimestre di quest’anno, ENISA e il Centro comune di ricerca della Commissione europea (JRC), in cooperazione con altri servizi pertinenti della Commissione e organismi dell’Unione, quali CERT-EU, Europol e le autorità settoriali, nonché con gli Stati membri, organizzeranno una piattaforma sicura di test dell’IA per casi d’uso di cibersicurezza. La piattaforma consentirà ai partecipanti di utilizzare le proprie chiavi di accesso ai modelli nell’ambito di regole comuni di sicurezza e riservatezza, sostenendo ciascuno i propri costi, utilizzando i propri strumenti e mantenendo la responsabilità per i propri metodi di test.

ENISA, in coordinamento con il JRC, dovrebbe disciplinare l’accesso alla piattaforma di test e aggregarne i risultati. Questa piattaforma europea sicura di test consentirà inoltre di sperimentare l’impiego di capacità cibernetiche avanzate di IA nei sistemi delle infrastrutture critiche senza esporre le infrastrutture reali a rischi (“cyber range”).

Il ritardo dell’Europa e la finestra stretta per recuperare

Se quelle esposte non possono che essere misure fondamentalmente difensive e di breve termine, che nascono dalla banale constatazione del ritardo accumulato dall’Europa nei modelli IA di frontiera, è chiaro che la priorità di medio-lungo termine dovrebbe essere quella di rafforzare la capacità europea, con la massima urgenza. Sempre nei giorni scorsi, il gruppo di esperti della Commissione sull’IA di frontiera, riunitosi per la prima volta ad aprile, ha rilasciato il suo primo rapporto.

Essendo un organismo con voci che comprendono oltre 100 scienziati e rappresentanti provenienti da ogni tipo di realtà pubblica e privata, su molte questioni la relazione pubblicata sul sito della Commissione europea enfatizza la diversità delle opinioni espresse, incluse le raccomandazioni per ridurre il gap esistente. Ma un elemento ha raccolto un vasto consenso: data la velocità dell’evoluzione tecnologica in atto, la finestra temporale per azioni significative si sta restringendo, “con i prossimi 1-2 anni che risulteranno probabilmente decisivi”.

Investimenti per l’IA sovrana, il vero spartiacque della strategia europea

Il piano d’azione sulla cybersicurezza e l’IA propone alcune ricette, in gran parte già esposte in altri documenti e iniziative in atto, partendo da una constatazione difficilmente confutabile: “lo sviluppo di capacità sovrane di frontiera comporterà fabbisogni di investimento nell’ordine di centinaia di miliardi di euro, che potranno essere coperti solo in parte dalle finanze pubbliche. È quindi necessario mobilitare con urgenza grandi quantità di investimenti privati, in particolare capitale di rischio ed equity, per sviluppare e portare su scala soluzioni europee innovative. Senza capacità di calcolo, modelli e infrastrutture di dati, l’Europa è destinata a rimanere un utilizzatore vulnerabile di sistemi di IA di frontiera prodotti altrove, che altri potrebbero improvvisamente disattivare, con enormi implicazioni economiche e di (ciber)sicurezza. Tuttavia, sebbene il costo per l’Europa della costruzione di una propria capacità di IA di frontiera possa essere molto elevato, il costo di non costruirla potrebbe essere ancora maggiore e crescere ogni anno con l’ampliarsi del divario nelle capacità di IA.”

La nuova capacità europea di equity

Il tema del capitale, in un’epoca nel quale diverse Big Tech USA stanno investendo singolarmente decine di miliardi di dollari l’anno sull’IA, è in effetti uno degli spartiacque decisivi. Il piano d’azione ricorda che, insieme alla pubblicazione del Tech Sovereignty Package, la Commissione ha avviato consultazioni con gli Stati membri, la Banca europea degli investimenti e altri importanti portatori di interessi sulla proposta di istituire una nuova capacità europea di equity che gestisca un portafoglio di investimenti azionari su larga scala in tecnologie avanzate e infrastrutture chiave per la sovranità tecnologica, comprese tecnologie digitali come l’IA di frontiera, oltre a tecnologie per l’energia pulita, biotecnologie e potenzialmente per la difesa.

Il principale vantaggio di questo meccanismo sarebbe la creazione di un’ancora di co-investimento in equity, oggi fortemente necessaria, capace di mobilitare grandi quantità di investimenti privati, operando in sinergia con o investendo in strumenti finanziari già esistenti a livello UE, come il fondo Scaleup Europe. Questo nuovo strumento strategico di equity potrebbe in effetti rappresentare un punto di svolta nel rispondere all’appello sempre più urgente per grandi investimenti dell’UE nell’IA di frontiera.

Tra fondi europei, Gigafactory e open source

Il piano d’azione fa riferimento anche allo European Competitiveness Fund, previsto dal prossimo Quadro finanziario pluriennale il cui negoziato tra istituzioni e specialmente tra Stati membri (con la solita linea di attrito tra Paesi frugali e Paesi come l’Italia ed altri che vorrebbero investimenti comuni, sostenuti anche da eurobond) è però ancora in alto mare. Inoltre, considerando che le risorse del budget saranno impiegabili a partire dal 2028 e con ogni probabilità sarà necessario un qualche rodaggio, è chiaro che non si potrà rimanere con le mani in mano nel frattempo.

Cruciale, dunque, oltre al fondo pubblico-privato prima menzionato, saranno le risorse che potranno essere mobilitate nel frattempo, ad esempio sulle Gigafactory, di cui si aspetta il bando, e sulla ricerca (es. il programma RAISE). Ma anche su progetti open source che, come dimostra il caso cinese, possono essere più facilmente alla portata di chi sta inseguendo.

La resilienza dell’open source critico

Nell’ambito della strategia UE per l’open source, pubblicata nell’ambito del pacchetto sulla sovranità tecnologica, il piano d’azione prevede che la Commissione, in collaborazione con ENISA, gli Stati membri e le comunità open source, sperimenti alcune azioni specificamente mirate al cyber e all’IA. In particolare, su impulso di ENISA, sarà accelerata la mappatura dei componenti open source critici prevista dalla strategia e, sulla base di un elenco preliminare definito secondo criteri concordati, sarà promossa una campagna per la resilienza dell’open source critico rivolta ai componenti open source pertinenti per le infrastrutture critiche.

Una strategia da completare oltre la regolazione

Per concludere il piano d’azione è uno dei tanti tasselli che la Commissione europea sta finalmente mettendo in campo per andare oltre la regolamentazione del settore e il Brussels effect. Potrà avere davvero successo solo se anche gli altri pezzi della strategia IA comporranno un puzzle completo. Ma per finirlo servirà l’impegno di tutti gli attori, pubblici e privati, di livello europeo, nazionale e regionale. In una cornice il più possibile coordinata ma al tempo stesso aperta alla competizione nei diversi segmenti della catena del valore.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x